Conector Threat Intelligence Upload Indicators API (versión preliminar) para Microsoft Sentinel
Microsoft Sentinel ofrece una API de plano de datos para incorporar la inteligencia sobre amenazas de la plataforma de inteligencia sobre amenazas (TIP), como Threat Connect, Palo Alto Networks MineMeld, MISP u otras aplicaciones integradas. Los indicadores de amenazas pueden incluir direcciones IP, dominios, direcciones URL, hashes de archivos y direcciones de correo electrónico. Para más información, consulte Documentación de Microsoft Sentinel.
Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| Tabla de Log Analytics | ThreatIntelligenceIndicator |
| Compatibilidad con reglas de recopilación de datos | No se admite actualmente. |
| Compatible con | Microsoft Corporation |
Ejemplos de consultas
Todos los indicadores de API de inteligencia sobre amenazas
ThreatIntelligenceIndicator
| where SourceSystem !in ('SecurityGraph', 'Azure Sentinel', 'Microsoft Sentinel')
| sort by TimeGenerated desc
Instrucciones de instalación del proveedor
Puede conectar los orígenes de datos de inteligencia sobre amenazas con Microsoft Sentinel mediante uno de los siguientes métodos:
Con una plataforma integrada de inteligencia sobre amenazas (TIP), como Threat Connect, Palo Alto Networks MineMeld, MISP y otros.
Llamando a la API del plano de datos de Microsoft Sentinel directamente desde otra aplicación.
- Nota: El "Estado" del conector no aparecerá como "Conectado" aquí, ya que los datos se ingieren mediante la realización de una llamada API.
Siga estos pasos para conectarse a la inteligencia sobre amenazas:
- Obtener token de acceso de Microsoft Entra ID
[concat("Para enviar una solicitud a las API, debe adquirir el token de acceso de Azure Active Directory. Puede seguir las instrucciones de esta página: /azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token
- Aviso: solicite el token de acceso de AAD con el valor de ámbito: ', variables('management'), '.default')]
- Envíe indicadores a Sentinel
Para enviar indicadores, llame a la API Upload Indicators. Para más información sobre la API, haga clic aquí.
Método HTTP: POST
Punto de conexión:
https://api.ti.sentinel.azure.com/workspaces/[WorkspaceID]/threatintelligenceindicators:upload?api-version=2022-07-01
WorkspaceID: área de trabajo en la que se cargan los indicadores.
Valor de encabezado 1: "Authorization" = "Bearer [token de acceso de Microsoft Entra ID del paso 1]"
Valor de encabezado 2: "Content-Type" = "application/json"
Cuerpo: el cuerpo es un objeto JSON que contiene una matriz de indicadores en formato STIX.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.