Freigeben über


Connector „Threat Intelligence – API zum Hochladen von Indikatoren (Vorschau)“ für Microsoft Sentinel

Microsoft Sentinel bietet eine API auf Datenebene, um Threat Intelligence einer Threat Intelligence-Plattform (TIP) wie Threat Connect, Palo Alto Networks MineMeld oder MISP oder aus anderen integrierten Anwendungen zu erfassen. Bedrohungsindikatoren können IP-Adressen, Domänen, URLs, Dateihashes und E-Mail-Adressen umfassen. Weitere Informationen finden Sie in der Dokumentation zu Microsoft Sentinel.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen ThreatIntelligenceIndicator
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Microsoft Corporation

Abfragebeispiele

Alle Indikatoren von Threat Intelligence-APIs

ThreatIntelligenceIndicator 
| where SourceSystem !in ('SecurityGraph', 'Azure Sentinel', 'Microsoft Sentinel')
| sort by TimeGenerated desc

Installationsanweisungen des Anbieters

Sie können Ihre Threat Intelligence-Datenquellen wie folgt mit Microsoft Sentinel verbinden:

Durch Verwenden einer integrierten Threat Intelligence-Plattform (TIP) wie Threat Connect, Palo Alto Networks MineMeld oder MISP

Durch direktes Aufrufen der Microsoft Sentinel-Datenebenen-API über eine andere Anwendung

  • Hinweis: Der „Status“ des Connectors wird hier nicht als „Verbunden“ angezeigt, da die Daten durch einen API-Aufruf erfasst werden.

Führen Sie die folgenden Schritte aus, um eine Verbindung mit Threat Intelligence herzustellen:

  1. Abrufen eines Microsoft Entra ID-Zugriffstokens

[concat('Um Anforderungen an die APIs senden zu können, müssen Sie ein Azure Active Directory-Zugriffstoken abrufen. Sie können die Anweisungen auf dieser Seite befolgen: /azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token

  • Hinweis: Fordern Sie das AAD-Zugriffstoken mit dem folgenden Bereichswert an: ', variables('management'), '.default')]
  1. Senden von Indikatoren an Sentinel

Sie können Indikatoren senden, indem Sie unsere API zum Hochladen von Indikatoren aufrufen. Für weitere Informationen zur API klicken Sie hier.

HTTP-Methode: POST

Endpunkt: https://api.ti.sentinel.azure.com/workspaces/[WorkspaceID]/threatintelligenceindicators:upload?api-version=2022-07-01

WorkspaceID: Der Arbeitsbereich, in den die Indikatoren hochgeladen werden.

Headerwert 1: "Authorization" = "Bearer [Microsoft Entra ID-Zugriffstoken aus Schritt 1]"

Headerwert 2: "Content-Type" = "application/json"

Text: Der Text ist ein JSON-Objekt, das ein Array von Indikatoren im STIX-Format enthält.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.