Verbinden Ihrer Threat Intelligence-Plattform mit Microsoft Sentinel mithilfe der Uploadindikatoren-API
Viele Organisationen verwenden Threat Intelligence-Plattformlösungen (TIP), um Bedrohungsindikatorenfeeds aus verschiedenen Quellen zu aggregieren. Aus dem aggregierten Feed werden die Daten für Sicherheitslösungen wie Netzwerkgeräte, EDR-/XDR- oder SIEM-Lösungen (Security Information & Event Management) wie Microsoft Sentinel kuratiert. Mit der API zum Hochladen von Threat Intelligence-Indikatoren können Sie diese Lösungen zum Importieren von Bedrohungsindikatoren in Microsoft Sentinel verwenden.
Die Uploadindikatoren-API erfasst Bedrohungserkennungsindikatoren in Microsoft Sentinel, ohne dass der Datenconnector benötigt wird. Der Datenconnector spiegelt nur die Anweisungen zum Herstellen einer Verbindung mit dem API-Endpunkt dar, die in diesem Artikel beschrieben sind, und das API-Referenzdokument der Microsoft Sentinel-Uploadindikatoren-API.
Weitere Informationen zur Threat Intelligence finden Sie unter Threat Intelligence.
Wichtig
Die Microsoft Sentinel Threat Intelligence-Uploadindikatoren-API befindet sich in der Vorschauphase. Die ergänzenden Nutzungsbedingungen für Microsoft Azure-Vorschauversionen enthalten weitere rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Microsoft Sentinel ist in der Unified Security Operations Platform von Microsoft im Microsoft Defender-Portal allgemein verfügbar. Für die Vorschau ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder eine E5-Lizenz verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Weitere Informationen finden Sie unter Microsoft Sentinel mit STIX/TAXII Threat Intelligence-Feeds Verknüpfen.
Hinweis
Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.
Voraussetzungen
- Um eigenständige Inhalte oder Lösungen aus dem Inhaltshub installieren, aktualisieren oder löschen zu können, müssen Sie auf Ressourcengruppenebene über die Rolle „Microsoft Sentinel-Mitwirkender“ verfügen. Sie müssen den Datenconnector nicht installieren, um den API-Endpunkt zu verwenden.
- Sie benötigen Lese- und Schreibberechtigungen für den Microsoft Azure Sentinel-Arbeitsbereich, um Ihre Bedrohungsindikatoren zu speichern.
- Sie müssen in der Lage sein, eine Microsoft Entra-Anwendung zu registrieren.
- Ihrer Microsoft Entra-Anwendung muss die Rolle „Microsoft Sentinel-Mitwirkender“ auf Arbeitsbereichsebene gewährt werden.
Anweisungen
Führen Sie die folgenden Schritte aus, um Bedrohungsindikatoren aus Ihrer integrierten TIP- oder einer benutzerdefinierten Threat Intelligence-Lösung in Microsoft Sentinel zu importieren:
- Registrieren Sie eine Microsoft Entra-Anwendung, und notieren Sie dann ihre Anwendungs-ID.
- Generieren Sie einen geheimen Clientschlüssels für Ihre Microsoft Entra-Anwendung, und notieren Sie diesen.
- Weisen Sie Ihrer Microsoft Entra-Anwendung die Rolle „Microsoft Sentinel-Mitwirkender“ oder eine gleichwertige Rolle zu.
- Konfigurieren Sie Ihre TIP-Lösung oder Ihre benutzerdefinierte Anwendung.
Registrieren einer Microsoft Entra-Anwendung
Mit den Standardberechtigungen für Benutzerrollen können Benutzer Anwendungsregistrierungen erstellen. Wenn diese Einstellung auf Nein umgestellt wurde, benötigen Sie die Berechtigung zum Verwalten von Anwendungen in Microsoft Entra. Die folgenden Microsoft Entra-Rollen verfügen über die erforderlichen Berechtigungen:
- Anwendungsadministrator
- Anwendungsentwickler
- Cloudanwendungsadministrator
Weitere Informationen zum Registrieren Ihrer Microsoft Entra-Anwendung finden Sie unter Registrieren einer Anwendung.
Nachdem Sie Ihre Anwendung registriert haben, halten Sie ihre Anwendungs-ID (Client) von der Registerkarte Übersicht der Anwendung fest.
Generieren und Festhalten eines geheimen Clientschlüssels
Nachdem Ihre Anwendung nun registriert ist, generieren Sie einen geheimen Clientschlüssel und halten ihn fest.
Weitere Informationen zum Generieren eines geheimen Clientschlüssels finden Sie unter Hinzufügen eines geheimen Clientschlüssels.
Zuweisen einer Rolle zur Anwendung
Die Uploadindikatoren-API erfasst Bedrohungsindikatoren auf Arbeitsbereichsebene und lässt eine Rolle mit geringsten Berechtigungen von „Microsoft Sentinel-Mitwirkender“ zu.
Wechseln Sie im Azure-Portal zu Log Analytics-Arbeitsbereiche.
Wählen Sie die Option Zugriffssteuerung (IAM) aus.
Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen.
Wählen Sie auf der Registerkarte Rolle die Rolle Microsoft Sentinel-Mitwirkender und dann Weiter aus.
Wählen Sie auf der Registerkarte Mitglieder die Option Zugriff zuweisen zu aus und dann Benutzer, Gruppe oder Dienstprinzipal.
Wählen Sie Mitglieder aus. Microsoft Entra-Anwendungen werden standardmäßig nicht in den verfügbaren Optionen angezeigt. Um Ihre Anwendung zu finden, suchen Sie nach ihrem Namen.
Wählen Sie Überprüfen und zuweisen aus.
Weitere Informationen zum Zuweisen von Rollen zu Anwendungen finden Sie unter Zuweisen einer Rolle zur Anwendung.
Installieren des Datenconnectors für die Uploadindikatoren-API von Threat Intelligence in Microsoft Sentinel (optional)
Installieren Sie den API-Datenconnector zum Hochladen von Bedrohungserkennungsindikatoren, um die API-Verbindungsanweisungen aus Ihrem Microsoft Sentinel-Arbeitsbereich anzuzeigen.
Wählen Sie für Microsoft Sentinel im Azure-Portal unter Inhaltsverwaltung die Option Inhaltshub aus.
Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Content Management> Content Hub aus.Suchen Sie die Threat Intelligence-Lösung, und wählen Sie sie aus.
Wählen Sie die Schaltfläche Installieren/Aktualisieren aus.
Weitere Informationen zum Verwalten der Lösungskomponenten finden Sie unter Ermitteln und Bereitstellen von standardmäßig vorhandenen Inhalten.
Der Datenconnector ist jetzt auf der Seite Konfiguration>Datenconnectors sichtbar. Öffnen Sie die Seite Datenconnectors, um weitere Informationen zum Konfigurieren Ihrer Anwendung mit dieser API zu erhalten.
Konfigurieren Ihrer Threat Intelligence Platform-Lösung oder benutzerdefinierten Anwendung
Die folgenden Konfigurationsinformationen sind für die Uploadindikatoren-API erforderlich:
- Anwendungs-ID (Client)
- Geheimer Clientschlüssel
- Microsoft Sentinel-Arbeitsbereichs-ID
Geben Sie diese Werte bei Bedarf in die Konfiguration Ihres integrierten TIP oder Ihrer benutzerdefinierten Lösung ein.
Übermitteln Sie die Indikatoren an die Microsoft Sentinel-Uploadindikatoren-API. Weitere Informationen zur Uploadindikatoren-API finden Sie unter Uploadindikatoren-API von Microsoft Sentinel.
Nach einigen Minuten sollten die Bedrohungsindikatoren in Ihren Microsoft Sentinel-Arbeitsbereich fließen. Die neuen Indikatoren finden Sie im Bereich Threat Intelligence, auf den Sie über das Microsoft Sentinel-Menü zugreifen können.
Der Status des Datenconnectors lautet Verbunden. Das Diagramm Empfangene Daten wird aktualisiert, nachdem Indikatoren erfolgreich übermittelt wurden.
Zugehöriger Inhalt
In diesem Artikel haben Sie erfahren, wie Sie Ihre TIP mit Microsoft Sentinel verbinden. Weitere Informationen zur Verwendung von Bedrohungsindikatoren in Microsoft Sentinel finden Sie in den folgenden Artikeln:
- Grundlegendes zu Threat Intelligence.
- Arbeiten mit Bedrohungsindikatoren in der Microsoft Sentinel-Umgebung
- Erste Schritte mit dem Erkennen von Bedrohungen mit integrierten oder benutzerdefinierten Analyseregeln in Microsoft Sentinel.