Sdílet prostřednictvím

Konektor api pro indikátory analýzy hrozeb (Preview) pro Microsoft Sentinel

  • Článek

Microsoft Sentinel nabízí rozhraní API roviny dat, které poskytuje analýzu hrozeb z vaší platformy Threat Intelligence Platform (TIP), jako je Threat Connect, Palo Alto Networks MineMeld, MISP nebo jiné integrované aplikace. Indikátory hrozeb můžou zahrnovat IP adresy, domény, adresy URL, hodnoty hash souborů a e-mailové adresy. Další informace najdete v dokumentaci k Microsoft Sentinelu.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

Atributy konektoru

Atribut konektoru Popis
Tabulky Log Analytics ThreatIntelligenceIndicator
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno Microsoft Corporation

Ukázky dotazů

Všechny indikátory rozhraní API analýzy hrozeb

ThreatIntelligenceIndicator 
| where SourceSystem !in ('SecurityGraph', 'Azure Sentinel', 'Microsoft Sentinel')
| sort by TimeGenerated desc

Pokyny k instalaci dodavatele

Zdroje dat analýzy hrozeb můžete připojit k Microsoft Sentinelu:

Použití integrované platformy Threat Intelligence Platform (TIP), jako je Threat Connect, Palo Alto Networks MineMeld, MISP a další.

Volání rozhraní API roviny dat Microsoft Sentinelu přímo z jiné aplikace

  • Poznámka: Stav konektoru se tady nezobrazí jako Připojeno, protože data se ingestují voláním rozhraní API.

Pokud se chcete připojit k analýze hrozeb, postupujte takto:

  1. Získání přístupového tokenu Microsoft Entra ID

[concat('Pokud chcete odeslat požadavek na rozhraní API, musíte získat přístupový token Azure Active Directory. Na této stránce můžete postupovat podle pokynů: /azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token

  • Upozornění: Požádejte o přístupový token AAD s hodnotou oboru: ', variables('management'), '.default')]
  1. Odesílání indikátorů do služby Sentinel

Indikátory můžete odesílat voláním našeho rozhraní API pro indikátory nahrávání. Další informace o rozhraní API potřebujete kliknutím sem.

Metoda HTTP: POST

Koncový bod: https://api.ti.sentinel.azure.com/workspaces/[WorkspaceID]/threatintelligenceindicators:upload?api-version=2022-07-01

WORKSPACEID: pracovní prostor, do kterého se indikátory nahrají.

Hodnota hlavičky 1: "Authorization" = "Bearer [Přístupový token Microsoft Entra ID z kroku 1]"

Hodnota záhlaví 2: Content-Type = "application/json"

Text: Tělo je objekt JSON obsahující pole indikátorů ve formátu STIX.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.