Connecter votre plateforme de veille des menaces à Microsoft Sentinel avec l’API Indicateurs de chargement
Beaucoup d’organisations utilisent des solutions de plateforme de renseignement sur les menaces (TIP) pour agréger les flux d’indicateurs de menaces issus de différentes sources. À partir du flux agrégé, les données sont curées pour s’appliquer à des solutions de sécurité, comme les appareils réseau, les solutions EDR/XDR ou les solutions de Gestion des informations et des événements de sécurité (SIEM) comme Microsoft Sentinel, par exemple. En utilisant l’API Indicateurs de chargement de la veille des menaces, vous pouvez utiliser ces solutions pour importer des indicateurs de menace dans Microsoft Sentinel.
L’API Indicateurs de chargement ingère des indicateurs de veille des menaces dans Microsoft Sentinel sans avoir besoin du connecteur de données. Le connecteur de données met uniquement en miroir les instructions pour la connexion au point de terminaison d’API détaillé dans cet article et le document de référence d’API Indicateurs de chargement Microsoft Sentinel.
Pour découvrir plus d’informations sur la veille des menaces, consultez Veille des menaces.
Important
L’API Indicateurs de chargement de veille des menaces de Microsoft Sentinel est en préversion. Voir les Avenant aux conditions d’utilisation supplémentaires pour les préversions de Microsoft Azure pour découvrir plus de conditions juridiques applicables aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui n’ont pas encore été mises en disponibilité générale.
Microsoft Sentinel est en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft du portail Microsoft Defender. Pour la préversion, Microsoft Sentinel est disponible dans le portail Defender sans licence Microsoft Defender XDR ou E5. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.
Pour plus d’informations, consultez Connecter Microsoft Sentinel aux flux de renseignement sur les menaces STIX/TAXII.
Remarque
Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.
Prérequis
- Pour installer, mettre à jour et supprimer du contenu autonome ou des solutions dans le Hub de contenu, vous avez besoin du rôle Contributeur Microsoft Sentinel au niveau du groupe de ressources. Vous n’avez pas besoin d’installer le connecteur de données pour utiliser le point de terminaison d’API.
- Vous devez disposer d’autorisations en lecture et en écriture sur l’espace de travail Microsoft Sentinel pour stocker vos indicateurs de menace.
- Vous devez être en mesure d’inscrire une application Microsoft Entra.
- Votre application Microsoft Entra doit se voir accorder le rôle de contributeur Microsoft Sentinel au niveau de l’espace de travail.
Instructions
Effectuez les étapes suivantes pour importer des indicateurs de menace dans Microsoft Sentinel à partir de votre TIP intégrée ou de votre solution personnalisée de renseignement sur les menaces :
- Inscrivez une application Microsoft Entra, puis enregistrez son ID d’application.
- Générez, puis enregistrez une clé secrète client pour votre application Microsoft Entra.
- Attribuez à votre application Microsoft Entra le rôle de Contributeur Microsoft Sentinel ou un rôle équivalent.
- Configurez votre solution TIP ou votre application personnalisée.
Enregistrer une application Microsoft Entra
Les autorisations de rôle utilisateur par défaut permettent aux utilisateurs de créer des inscriptions d’applications. Si ce paramètre a été basculé sur Non, vous avez besoin d’une autorisation pour gérer les applications dans Microsoft Entra. Les rôles Microsoft Entra suivants incluent les autorisations nécessaires :
- Administrateur d’application
- Développeur d’applications
- Administrateur d’application cloud
Si vous souhaitez en savoir plus sur l’inscription de votre application Microsoft Entra, veuillez consulter la rubrique Inscrire une application.
Après avoir inscrit votre application, enregistrez son ID d’application (client) à partir de l’onglet Vue d’ensemble de l’application.
Générer et enregistrer une clé secrète client
Maintenant que votre application est inscrite, générez, puis enregistrez une clé secrète client.
Si vous souhaitez en savoir plus sur la génération d’une clé secrète client, veuillez consulter la rubrique Ajouter une clé secrète client.
Attribuer un rôle à l’application
L’API Indicateurs de chargement ingère les indicateurs de menaces au niveau de l’espace de travail, puis autorise un rôle de privilège minimum de Contributeur Microsoft Sentinel.
Dans le Portail Azure, accédez aux espaces de travail Log Analytics.
Sélectionnez Contrôle d’accès (IAM) .
Sélectionnez Ajouter>Ajouter une attribution de rôle.
Sous l’onglet Rôle, sélectionnez le rôle Contributeur Microsoft Sentinel, puis Suivant.
Sous l’onglet Membres, sélectionnez Attribuer l’accès à>Utilisateur, groupe ou principal du service.
Sélectionnez des membres. Par défaut, les applications Microsoft Entra ne figurent pas dans les options disponibles. Pour trouver votre application, recherchez-la par son nom.
Sélectionnez Vérifier + attribuer.
Si vous souhaitez en savoir plus sur l’attribution de rôles à des applications, veuillez consulter la rubrique Attribuer un rôle à l’application.
Installer le connecteur de données de l’API Indicateurs de chargement de veille des menaces dans Microsoft Sentinel (facultatif)
Installez le connecteur de données d’API Threat Intelligence Upload Indicators pour afficher les instructions de connexion d’API à partir de votre espace de travail Microsoft Sentinel.
Dans Microsoft Sentinel, dans le Portail Azure, sous Gestion du contenu, sélectionnez Hub de contenu.
Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Gestion du contenu>Hub de contenu.Recherchez et sélectionnez la solution Threat Intelligence.
Sélectionnez le bouton Installer/Mettre à jour.
Pour plus d’informations sur la gestion des composants de la solution, consultez Découvrir et déployer du contenu prête à l’emploi.
Le connecteur de données est désormais visible dans Configuration>Connecteurs de données. Ouvrez la page Connecteur de données pour obtenir plus d’informations sur la configuration de votre application avec cette API.
Configurer votre solution de plateforme de veille des menaces ou votre application personnalisée
Les informations de configuration suivantes sont requises par l’API Indicateurs de chargement :
- ID d’application (client)
- Clé secrète client
- ID de l’espace de travail Microsoft Sentinel
Entrez ces valeurs dans la configuration de votre solution de plateforme Threat Intelligence ou votre solution personnalisée, si nécessaire.
Envoyez les indicateurs à l’API Indicateurs de chargement Microsoft Sentinel. Pour découvrir plus d’informations sur l’API Indicateurs de chargement, consultez API Indicateurs de chargement Microsoft Sentinel.
Après quelques minutes, les indicateurs de menaces doivent commencer à circuler dans votre espace de travail Microsoft Sentinel. Vous trouverez les nouveaux indicateurs dans le panneau Veille des menaces, accessible à partir du menu Microsoft Sentinel.
L’état du connecteur de données reflète l’état Connecté. Le graphique Données reçues est mis à jour après l’envoi correct des indicateurs.
Contenu connexe
Dans cet article, vous avez appris à connecter votre TIP à Microsoft Sentinel. Si vous souhaitez découvrir plus d’informations sur l’utilisation des indicateurs de menaces dans Microsoft Sentinel, veuillez consulter les articles suivants :
- Comprendre la veille des menaces.
- Utiliser des indicateurs de menace tout au long de l’expérience Microsoft Sentinel.
- Démarrage de la détection de menaces avec des règles d’analyse intégrées ou personnalisées dans Microsoft Sentinel.