Sdílet prostřednictvím

Připojení platformy analýzy hrozeb k Microsoft Sentinelu

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Poznámka:

Tento datový konektor je na cestě k vyřazení. Další informace budou publikovány na přesné časové ose. Pro nová řešení použijte nový datový konektor rozhraní API indikátorů analýzy hrozeb pro nová řešení. Další informace najdete v tématu Připojení platformy analýzy hrozeb k Microsoft Sentinelu pomocí rozhraní API pro indikátory nahrávání.

Mnoho organizací používá řešení platformy pro analýzu hrozeb (TIP) k agregaci informačních kanálů indikátorů hrozeb z různých zdrojů. Z agregovaného informačního kanálu se data kurátorují tak, aby platila pro řešení zabezpečení, jako jsou síťová zařízení, řešení EDR/XDR nebo řešení pro správu informací o zabezpečení (SIEM), jako je Microsoft Sentinel. Pomocí datového konektoru TIP můžete tato řešení použít k importu indikátorů hrozeb do Microsoft Sentinelu.

Vzhledem k tomu, že datový konektor TIP funguje s rozhraním API TiIndicators pro Microsoft Graph Security, můžete pomocí tohoto konektoru odesílat indikátory do Služby Microsoft Sentinel (a do jiných řešení zabezpečení, jako je XDR v programu Defender), z jakéhokoli jiného vlastního tipu, který může s tímto rozhraním API komunikovat.

Snímek obrazovky znázorňující cestu importu analýzy hrozeb

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.

Přečtěte si další informace o inteligenci hrozeb v Microsoft Sentinelu a konkrétně o produktech TIP, které můžete integrovat s Microsoft Sentinelem.

Důležité

Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Požadavky

  • Pokud chcete nainstalovat, aktualizovat a odstranit samostatný obsah nebo řešení v centru obsahu, potřebujete roli Přispěvatel Microsoft Sentinelu na úrovni skupiny prostředků.
  • Pokud chcete udělit oprávnění k produktu TIP nebo jakékoli jiné vlastní aplikaci, která používá přímou integraci s rozhraním MICROSOFT Graph TI Indicators API, musíte mít roli Microsoft Entra nebo ekvivalentní oprávnění správce zabezpečení.
  • Abyste mohli ukládat indikátory hrozeb, musíte mít oprávnění ke čtení a zápisu do pracovního prostoru Služby Microsoft Sentinel.

Pokyny

Pokud chcete importovat indikátory hrozeb do Služby Microsoft Sentinel z integrovaného řešení TIP nebo vlastní analýzy hrozeb, postupujte takto:

  1. Získejte ID aplikace a tajný klíč klienta z Microsoft Entra ID.
  2. Zadejte tyto informace do řešení TIP nebo do vlastní aplikace.
  3. Povolte datový konektor TIP v Microsoft Sentinelu.

Registrace ID aplikace a tajného klíče klienta z Microsoft Entra ID

Ať už pracujete s TIPem nebo vlastním řešením, rozhraní API tiIndicators vyžaduje několik základních informací, které vám umožní připojit informační kanál k němu a odeslat indikátory hrozeb. Jsou to tři informace, které potřebujete:

  • ID aplikace (klienta)
  • ID adresáře (klienta)
  • Tajný klíč klienta

Tyto informace můžete získat z ID Microsoft Entra prostřednictvím registrace aplikace, která zahrnuje následující tři kroky:

  • Zaregistrujte aplikaci pomocí Microsoft Entra ID.
  • Zadejte oprávnění požadovaná aplikací pro připojení k rozhraní MICROSOFT Graph tiIndicators API a odesílání indikátorů hrozeb.
  • Získejte souhlas od vaší organizace, abyste těmto oprávněním udělili této aplikaci.

Registrace aplikace pomocí Microsoft Entra ID

  1. Na webu Azure Portal přejděte na MICROSOFT Entra ID.

  2. V nabídce vyberte Registrace aplikací a pak vyberte Nová registrace.

  3. Zvolte název registrace aplikace, vyberte Jednoho tenanta a pak vyberte Zaregistrovat.

    Snímek obrazovky znázorňující registraci aplikace

  4. Na obrazovce, která se otevře, zkopírujte hodnoty ID aplikace (klienta) a ID adresáře (tenanta). Tyto dvě informace budete potřebovat později ke konfiguraci tipu nebo vlastního řešení pro odesílání indikátorů hrozeb do Služby Microsoft Sentinel. Třetí informace, které potřebujete, tajný klíč klienta, přijde později.

Zadejte oprávnění požadovaná aplikací.

  1. Vraťte se na hlavní stránku Microsoft Entra ID.

  2. V nabídce vyberte Registrace aplikací a pak vyberte nově zaregistrovanou aplikaci.

  3. V nabídce vyberte Oprávnění>rozhraní API Přidat oprávnění.

  4. Na stránce Vybrat rozhraní API vyberte rozhraní Microsoft Graph API. Pak vyberte ze seznamu oprávnění Microsoft Graphu.

  5. Na příkazovém řádku , jaký typ oprávnění vaše aplikace vyžaduje?, vyberte Oprávnění aplikace. Toto oprávnění je typ používaný aplikacemi, které se ověřují pomocí ID aplikace a tajných kódů aplikací (klíče rozhraní API).

  6. Vyberte ThreatIndicators.ReadWrite.OwnedBy a pak vyberte Přidat oprávnění pro přidání tohoto oprávnění do seznamu oprávnění vaší aplikace.

    Snímek obrazovky znázorňující zadání oprávnění

  1. K udělení souhlasu se vyžaduje privilegovaná role. Další informace najdete v tématu Udělení souhlasu správce v rámci celého tenanta k aplikaci.

    Snímek obrazovky znázorňující udělení souhlasu

  2. Po udělení souhlasu s vaší aplikací by se měla v části Stav zobrazit zelená značka zaškrtnutí.

Po registraci aplikace a udělení oprávnění musíte pro svou aplikaci získat tajný klíč klienta.

  1. Vraťte se na hlavní stránku Microsoft Entra ID.

  2. V nabídce vyberte Registrace aplikací a pak vyberte nově zaregistrovanou aplikaci.

  3. V nabídce vyberte Certifikáty a tajné kódy. Pak vyberte Nový tajný klíč klienta pro příjem tajného kódu (klíč rozhraní API) pro vaši aplikaci.

    Snímek obrazovky znázorňující získání tajného klíče klienta

  4. Vyberte Přidat a zkopírujte tajný klíč klienta.

    Důležité

    Před opuštěním této obrazovky musíte zkopírovat tajný klíč klienta. Pokud z této stránky odejdete, nemůžete tento tajný kód znovu načíst. Tuto hodnotu potřebujete při konfiguraci tipu nebo vlastního řešení.

Zadejte tyto informace do řešení TIP nebo vlastní aplikace.

Teď máte všechny tři informace, které potřebujete ke konfiguraci tipu nebo vlastního řešení pro odesílání indikátorů hrozeb do Microsoft Sentinelu:

  • ID aplikace (klienta)
  • ID adresáře (klienta)
  • Tajný klíč klienta

Zadejte tyto hodnoty do konfigurace integrovaného tipu nebo vlastního řešení tam, kde je to potřeba.

  1. Pro cílový produkt zadejte Azure Sentinel. (Určení Výsledkem Microsoft Sentinelu je chyba.)

  2. Pro akci zadejte výstrahu.

Po dokončení konfigurace se indikátory hrozeb odesílají z vašeho TIPu nebo vlastního řešení prostřednictvím rozhraní MICROSOFT Graph tiIndicators API zaměřeného na Microsoft Sentinel.

Povolení datového konektoru TIP v Microsoft Sentinelu

Posledním krokem v procesu integrace je povolení datového konektoru TIP v Microsoft Sentinelu. Povolení konektoru umožňuje službě Microsoft Sentinel přijímat indikátory hrozeb odesílané z tipu nebo vlastního řešení. Tyto indikátory jsou dostupné pro všechny pracovní prostory Služby Microsoft Sentinel pro vaši organizaci. Pokud chcete pro každý pracovní prostor povolit datový konektor TIP, postupujte takto:

  1. Pro Microsoft Sentinel na webu Azure Portal v části Správa obsahu vyberte Centrum obsahu.
    Pro Microsoft Sentinel na portálu Defender vyberte centrum obsahu pro správu>obsahu služby Microsoft Sentinel>.

  2. Vyhledejte a vyberte řešení Analýzy hrozeb .

  3. Vyberte tlačítko Instalovat/Aktualizovat.

    Další informace o správě komponent řešení najdete v tématu Zjišťování a nasazení obsahu před nasazením.

  4. Chcete-li nakonfigurovat datový konektor TIP, vyberte konektory konfiguračních>dat.

  5. Vyhledejte datový konektor Platformy analýzy hrozeb a pak vyberte otevřít stránku konektoru.

    Snímek obrazovky znázorňující stránku Datové konektory se zobrazeným datovým konektorem Platformy analýzy hrozeb

  6. Vzhledem k tomu, že jste registraci aplikace už dokončili a nakonfigurovali své TIP nebo vlastní řešení pro odesílání indikátorů hrozeb, jediným krokem vlevo je vybrat Připojit.

Během několika minut by se indikátory hrozeb měly začít spouštět do tohoto pracovního prostoru Služby Microsoft Sentinel. Nové indikátory najdete v podokně Analýza hrozeb, ke kterému máte přístup z nabídky Microsoft Sentinel.

Související obsah

V tomto článku jste se dozvěděli, jak připojit tip k Microsoft Sentinelu. Další informace o službě Microsoft Sentinel najdete v následujících článcích: