Microsoft Sentinel için Tehdit Bilgileri Karşıya Yükleme Göstergeleri API'si (Önizleme) bağlayıcısı
Microsoft Sentinel, Threat Connect, Palo Alto Networks MineMeld, MISP veya diğer tümleşik uygulamalar gibi Tehdit Bilgileri Platformunuzdan (TIP) tehdit bilgileri getirmek için bir veri düzlemi API'si sunar. Tehdit göstergeleri IP adreslerini, etki alanlarını, URL'leri, dosya karmalarını ve e-posta adreslerini içerebilir. Daha fazla bilgi için Microsoft Sentinel belgelerine bakın.
Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.
Bağlayıcı öznitelikleri
| Bağlayıcı özniteliği | Açıklama |
|---|---|
| Log Analytics tabloları | ThreatIntelligenceIndicator |
| Veri toplama kuralları desteği | Şu anda desteklenmiyor |
| Destekleyen: | Microsoft Corporation |
Sorgu örnekleri
Tüm Tehdit Bilgileri API'leri Göstergeleri
ThreatIntelligenceIndicator
| where SourceSystem !in ('SecurityGraph', 'Azure Sentinel', 'Microsoft Sentinel')
| sort by TimeGenerated desc
Satıcı yükleme yönergeleri
Tehdit bilgileri veri kaynaklarınızı Microsoft Sentinel'e şu yollardan biriyle bağlayabilirsiniz:
Threat Connect, Palo Alto Networks MineMeld, MISP ve diğerleri gibi tümleşik bir Tehdit Analizi Platformu (TIP) kullanma.
Microsoft Sentinel veri düzlemi API'sini doğrudan başka bir uygulamadan çağırma.
- Not: Veriler bir API çağrısı yapılarak alındığından bağlayıcının 'Durumu' burada 'Bağlı' olarak gösterilmez.
Tehdit Bilgilerinize Bağlanmak için Şu Adımları Izleyin:
- Microsoft Entra Id Erişim Belirteci Alma
[concat('API'lere istek göndermek için Azure Active Directory erişim belirteci almanız gerekir. Şu sayfada yönergeleri izleyebilirsiniz: /azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token
- Bildirim: Lütfen kapsam değeri ', değişkenler('yönetim'), '.default')] olan AAD erişim belirteci isteyin
- Sentinel'e gösterge gönderme
Karşıya Yükleme Göstergeleri API'mizi çağırarak gösterge gönderebilirsiniz. API hakkında daha fazla bilgi için buraya tıklayın.
HTTP yöntemi: POST
Uç nokta:
https://api.ti.sentinel.azure.com/workspaces/[WorkspaceID]/threatintelligenceindicators:upload?api-version=2022-07-01
WorkspaceID: Göstergelerin karşıya yüklendiği çalışma alanı.
Üst Bilgi Değeri 1: "Authorization" = "Bearer [Microsoft Entra ID Access Token from step 1]"
Üst Bilgi Değeri 2: "Content-Type" = "application/json"
Gövde: Gövde, STIX biçiminde bir gösterge dizisi içeren bir JSON nesnesidir.
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.