Conexión de la plataforma de inteligencia sobre amenazas a Microsoft Sentinel con la API de carga (versión preliminar)
Muchas organizaciones usan soluciones de plataforma de inteligencia sobre amenazas (TIP) para agregar fuentes de inteligencia sobre amenazas de diversos orígenes. Desde la fuente agregada, los datos son mantenidos para aplicarse a soluciones de seguridad como dispositivos de red, soluciones EDR/XDR o Administración de eventos e información de seguridad (SIEM), como Microsoft Sentinel. El estándar del sector para describir la información sobre ciberamenazas se denomina "Expresión de información sobre amenazas estructurada" o STIX. Mediante la API de carga que admite objetos STIX, se usa una manera más expresiva de importar inteligencia sobre amenazas en Microsoft Sentinel.
La API de carga ingiere la inteligencia sobre amenazas en Microsoft Sentinel sin necesidad de conectores de datos. En este artículo se describe lo que se necesita para conectarse. Para obtener más información sobre los detalles de API, consulte el documento de referencia API de carga de Microsoft Sentinel.
Para obtener más información sobre la inteligencia sobre amenazas, vea Inteligencia sobre amenazas.
Importante
La API de carga de inteligencia sobre amenazas de Microsoft Sentinel está en versión preliminar. Consulte los Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer más términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Nota:
Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.
Requisitos previos
- Es necesario tener permisos de lectura y escritura en el área de trabajo de Microsoft Sentinel para almacenar los objetos STIX de inteligencia sobre amenazas.
- Debe poder registrar una aplicación de Microsoft Entra.
- La aplicación Microsoft Entra debe tener el rol Colaborador de Microsoft Sentinel en el nivel de área de trabajo.
Instrucciones
Siga estos pasos para importar objetos STIX de inteligencia sobre amenazas a Microsoft Sentinel desde su TIP integrada o solución de inteligencia sobre amenazas personalizada:
- Registre una aplicación de Microsoft Entra y, a continuación, registre su identificador de aplicación.
- Genere y registre un secreto de cliente para la aplicación de Microsoft Entra.
- Asigne a la aplicación Microsoft Entra el rol Colaborador de Microsoft Sentinel o el equivalente.
- Configure la solución TIP o la aplicación personalizada.
Registro de una aplicación de Microsoft Entra
Los permisos de rol de usuario predeterminados permiten a los usuarios crear registros de aplicaciones. Si esta configuración se cambió a No, necesita permiso para administrar aplicaciones en Microsoft Entra. Cualquiera de los siguientes roles de Microsoft Entra incluye los permisos necesarios:
- Administrador de aplicaciones
- Desarrollador de aplicaciones
- Administrador de aplicaciones en la nube
Para más información sobre cómo registrar la aplicación de Microsoft Entra, consulte Registrar una aplicación.
Después de registrar la aplicación, registre su identificador de aplicación (cliente) desde la pestaña Información general de la aplicación.
Asignación de un rol a la aplicación
La API de carga ingiere objetos de inteligencia sobre amenazas en el nivel de área de trabajo y requiere el rol Colaborador de Microsoft Sentinel.
En Azure Portal, vaya a Áreas de trabajo de Log Analytics.
Seleccione Access Control (IAM) .
Seleccione Agregar>Agregar asignación de roles.
En la pestaña Rol, seleccione el rol Colaborador de Microsoft Sentinel y, a continuación, seleccione Siguiente.
En la pestaña Miembros, seleccione Asignar acceso a> y Usuario, grupo, o entidad de servicio.
Seleccionar miembros. De manera predeterminada, las aplicaciones de Microsoft Entra no se muestran en las opciones disponibles. Para encontrar la aplicación, búsquela por su nombre.
Seleccione Revisar y asignar.
Para obtener más información sobre cómo asignar roles a las aplicaciones, consulte Asignar un rol a la aplicación.
Configure su solución de plataforma de inteligencia de amenazas o aplicación personalizada
La API de carga requiere la siguiente información de configuración:
- Id. de aplicación (cliente)
- Token de acceso de Microsoft Entra con autenticación OAuth 2.0
- ID de trabajo de Microsoft Sentinel
Escriba estos valores en la configuración de su TIP integrada o solución personalizada cuando sea necesario.
- Envíe la inteligencia sobre amenazas a la API de carga. Para más información, consulte API de carga de Microsoft Sentinel.
- En cuestión de minutos, los objetos de inteligencia sobre amenazas deberían empezar a fluir en el área de trabajo de Microsoft Sentinel. Busque los nuevos objetos STIX en la página Inteligencia sobre amenazas, a la que se puede acceder desde el menú de Microsoft Sentinel.
Contenido relacionado
En este artículo, ha aprendido a conectar la TIP a Microsoft Sentinel. Para obtener más información sobre el uso de la inteligencia sobre amenazas en Microsoft Sentinel, consulte los siguientes artículos:
- Información sobre la inteligencia sobre amenazas.
- Trabaje con indicadores de amenazas a lo largo de la experiencia de Microsoft Sentinel.
- Comenzar con la detección de amenazas con reglas de análisis integradas o personalizadas en Microsoft Sentinel.