使用上傳指標 API 將您的威脅情報平台連線至 Microsoft Sentinel

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

許多組織使用威脅情報平台 (TIP) 解決方案從各種來源彙總威脅指標。 資料將從彙總摘要中進行整理,以套用至安全性解決方案,例如網路裝置、EDR/XDR 解決方案或 SIEM (例如 Microsoft Sentinel)。 威脅情報上傳指標 API 可讓您使用這些解決方案將威脅指標匯入 Microsoft Sentinel。 上傳指標 API 可將威脅情報指標擷取至 Microsoft Sentinel,不需要資料連接器。 資料連接器只反映了連接到 API 端點指示,這些端點詳述於本文和補充 API 參考文件 Microsoft Sentinel 上傳指標 API

威脅情報匯入路徑

如需威脅情報的詳細資訊,請參閱 威脅情報

重要

Microsoft Sentinel 威脅情報上傳指標 API 目前處於 預覽 狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。

Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

注意

如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。

另請參閱將 Microsoft Sentinel 連線到 STIX/TAXII 威脅情報摘要

必要條件

  • 若要在內容中樞安裝、更新及刪除獨立內容或解決方案,您需要資源群組層級的 Microsoft Sentinel 參與者 角色。 記住,使用 API 端點不需要安裝資料連接器。
  • 您必須擁有 Microsoft Sentinel 工作區的讀取和寫入權限,才能儲存威脅指標。
  • 您必須先註冊 Microsoft Entra 應用程式:
  • Microsoft Entra 應用程式必須在工作區層級授與 Microsoft Sentinel 參與者角色。

指示

請遵循下列步驟,從整合式 TIP 或自訂威脅情報解決方案將威脅指標匯入 Microsoft Sentinel:

  1. 註冊 Microsoft Entra 應用程式並記錄應用程式識別碼。
  2. 產生並記錄 Microsoft Entra 應用程式的用戶端密碼。
  3. 將 Microsoft Sentinel 參與者角色或對等角色指派給 Microsoft Entra 應用程式
  4. 設定 TIP 解決方案或自訂應用程式。

註冊 Microsoft Entra 應用程式

預設使用者角色權限 允許使用者建立應用程式註冊。 如果此設定已切換至 ,您需要在 Microsoft Entra ID 中管理應用程式的權限。 任何下列 Microsoft Entra 角色都包括必要的權限:

  • 應用程式系統管理員
  • 應用程式開發人員
  • 雲端應用程式系統管理員

如需註冊 Microsoft Entra 應用程式的詳細資訊,請參閱 註冊應用程式

註冊應用程式後,請從 [概觀] 索引標籤記錄其應用程式 (用戶端) 識別碼。

產生並記錄用戶端密碼

既然您的應用程式已經註冊,請產生並記錄用戶端密碼。

此螢幕擷取畫面顯示用戶端密碼的產生。

如需產生用戶端密碼的詳細資訊,請參閱 新增用戶端密碼

指派角色給應用程式

上傳指標 API 會在工作區層級擷取威脅指標,並允許至少 Microsoft Sentinel 參與者的權限角色。

  1. 從 Azure 入口網站前往 [Log Analytics] 工作區。

  2. 選取 [存取控制 (IAM)]。

  3. 選取 [新增>][新增角色指派]。

  4. [角色] 索引標籤中,選取 [Microsoft Sentinel 參與者角色]>[下一步]

  5. [成員] 索引標籤上,選取 [指派存取權給>使用者、群組或服務主體]

  6. 選取 [成員]。 根據預設,Microsoft Entra 應用程式不會顯示在可用的選項中。 若要尋找您的應用程式,請依名稱搜尋。 此螢幕擷取畫面顯示在工作區層級指派給應用程式的 Microsoft Sentinel 參與者角色。

  7. 選取>[檢閱 + 指派]

如需指派角色給應用程式的詳細資訊,請參閱 指派角色給應用程式

在 Microsoft Sentinel 中安裝威脅情報上傳指標 API (選用)

安裝 威脅情報上傳指標 API 資料連接器,從您的 Microsoft Sentinel 工作區查看 API 連線指示。

  1. 針對 Azure 入口網站中的 Microsoft Sentinel,在 [內容管理] 下方,選取 [內容中樞]
    針對 Defender 入口網站 中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[内容管理]>[內容中樞]

  2. 尋找並選取 [威脅情報] 解決方案。

  3. 選取 [安裝/更新]Insta 按鈕。

如需如何管理解決方案元件的詳細資訊,請參閱探索及部署現成可用的內容 (部分機器翻譯)。

  1. 資料連接器目前會顯示於 [組態]>[資料連接器] 中。 開啟資料連接器頁面,以尋找使用此 API 設定應用程式的詳細資訊。

    此螢幕擷取畫面顯示資料連接器頁面,其中列出了上傳 API 資料連接器。

設定 TIP 解決方案或自訂應用程式

上傳指標 API 需要下列組態資訊:

  • 應用程式 (用戶端) 識別碼
  • 用戶端密碼
  • Microsoft Sentinel 工作區識別碼

視需要在整合式 TIP 或自訂解決方案的設定中輸入這些值。

  1. 將指標提交至 Microsoft Sentinel 上傳 API。 若要深入了解上傳指標 API,請參閱 Microsoft Sentinel 上傳指標 API

  2. 在幾分鐘內,威脅指標應該就會開始流入您的 Microsoft Sentinel 工作區。 尋找 [威脅情報] 刀鋒視窗中的新指標,可以從 Microsoft Sentinel 導覽功能表中存取。

  3. 資料連接器狀態反映 [已連線] 狀態,一旦指標成功提交,[接收資料] 圖表就會更新。

    此螢幕擷取畫面顯示處於已連接狀態的上傳指標 API 資料連接器。

相關內容

在本文件中,您已了解如何將威脅情報平台連線到 Microsoft Sentinel。 若要深入瞭解如何使用 Microsoft Sentinel 的威脅指標,請參閱下列文章。