Sdílet prostřednictvím

Připojení platformy analýzy hrozeb k Microsoft Sentinelu pomocí rozhraní API pro nahrávání (Preview)

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Mnoho organizací používá řešení platformy pro analýzu hrozeb (TIP) k agregaci informačních kanálů analýzy hrozeb z různých zdrojů. Z agregovaného informačního kanálu se data kurátorují tak, aby platila pro řešení zabezpečení, jako jsou síťová zařízení, řešení EDR/XDR nebo řešení pro správu informací o zabezpečení (SIEM), jako je Microsoft Sentinel. Oborový standard pro popis informací o kybernetických hrozbách se nazývá "Výraz informací o strukturovaných hrozbách" nebo STIX. Pomocí rozhraní API pro nahrávání, které podporuje objekty STIX, použijete výraznější způsob importu analýzy hrozeb do Služby Microsoft Sentinel.

Nahrání rozhraní API ingestuje analýzu hrozeb do Microsoft Sentinelu bez nutnosti datového konektoru. Tento článek popisuje, co potřebujete pro připojení. Další informace o podrobnostech rozhraní API najdete v referenčním dokumentu k nahrání rozhraní API služby Microsoft Sentinel.

Snímek obrazovky znázorňující cestu importu analýzy hrozeb

Další informace o analýze hrozeb najdete v tématu Analýza hrozeb.

Důležité

Rozhraní API pro nahrání analýzy hrozeb v Microsoft Sentinelu je ve verzi Preview. Další právní podmínky, které se vztahují na funkce Azure v beta verzi, preview nebo které ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.

Požadavky

  • Abyste mohli ukládat objekty STIX analýzy hrozeb, musíte mít oprávnění ke čtení a zápisu do pracovního prostoru Služby Microsoft Sentinel.
  • Musíte být schopni zaregistrovat aplikaci Microsoft Entra.
  • Vaše aplikace Microsoft Entra musí mít na úrovni pracovního prostoru udělenou roli Přispěvatel Microsoft Sentinelu.

Pokyny

Pomocí těchto kroků naimportujte objekty STIX analýzy hrozeb do Microsoft Sentinelu z integrovaného řešení TIP nebo vlastní analýzy hrozeb:

  1. Zaregistrujte aplikaci Microsoft Entra a potom poznamenejte její ID aplikace.
  2. Vygenerujte a zaznamenejte tajný klíč klienta pro vaši aplikaci Microsoft Entra.
  3. Přiřaďte aplikaci Microsoft Entra roli Přispěvatel Microsoft Sentinelu nebo ekvivalentní roli.
  4. Nakonfigurujte řešení TIP nebo vlastní aplikaci.

Registrace aplikace Microsoft Entra

Výchozí oprávnění role uživatele umožňují uživatelům vytvářet registrace aplikací. Pokud se toto nastavení přepnulo na Ne, potřebujete oprávnění ke správě aplikací v Microsoft Entra. Mezi následující role Microsoft Entra patří požadovaná oprávnění:

  • Správce aplikace
  • Vývojář aplikace
  • Správce cloudové aplikace

Další informace o registraci aplikace Microsoft Entra naleznete v tématu Registrace aplikace.

Po registraci aplikace si poznamenejte ID aplikace (klienta) na kartě Přehled aplikace.

Přiřazení role k aplikaci

Nahrání rozhraní API ingestuje objekty analýzy hrozeb na úrovni pracovního prostoru a vyžaduje roli přispěvatele Microsoft Sentinelu.

  1. Na webu Azure Portal přejděte do pracovních prostorů služby Log Analytics.

  2. Vyberte Řízení přístupu (IAM) .

  3. Vyberte Přidat>Přidat přiřazení role.

  4. Na kartě Role vyberte roli Přispěvatel Microsoft Sentinelu a pak vyberte Další.

  5. Na kartě Členové vyberte Přiřadit přístup k>uživateli, skupině nebo instančnímu objektu.

  6. Vyberte členy. Ve výchozím nastavení se aplikace Microsoft Entra nezobrazují v dostupných možnostech. Pokud chcete aplikaci najít, vyhledejte ji podle názvu.

    Snímek obrazovky znázorňující roli Přispěvatel Microsoft Sentinelu přiřazenou aplikaci na úrovni pracovního prostoru

  7. Vyberte Zkontrolovat + přiřadit.

Další informace o přiřazování rolí k aplikacím najdete v tématu Přiřazení role k aplikaci.

Konfigurace řešení platformy analýzy hrozeb nebo vlastní aplikace

Rozhraní API pro nahrávání vyžaduje následující konfigurační informace:

  • ID aplikace (klienta)
  • Přístupový token Microsoft Entra s ověřováním OAuth 2.0
  • ID pracovního prostoru Služby Microsoft Sentinel

Zadejte tyto hodnoty do konfigurace integrovaného tipu nebo vlastního řešení tam, kde je to potřeba.

  1. Odešlete analýzu hrozeb do rozhraní API pro nahrání. Další informace najdete v tématu Rozhraní API pro nahrání služby Microsoft Sentinel.
  2. Během několika minut by se objekty analýzy hrozeb měly začít spouštět do pracovního prostoru Služby Microsoft Sentinel. Najděte nové objekty STIX na stránce Analýza hrozeb, která je přístupná z nabídky Microsoft Sentinelu.

Související obsah

V tomto článku jste se dozvěděli, jak připojit tip k Microsoft Sentinelu. Další informace o používání analýzy hrozeb v Microsoft Sentinelu najdete v následujících článcích: