Partager via

Connectez votre plateforme de renseignement sur les menaces à Microsoft Sentinel avec l'API de téléchargement (version préliminaire)

  • Article
  • S’applique à:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Beaucoup d’organisations utilisent des solutions de plateforme de veille des menaces (TIP) pour agréger les flux d’informations sur les menaces issus de différentes sources. À partir du flux agrégé, les données sont curées pour s’appliquer à des solutions de sécurité, comme les appareils réseau, les solutions EDR/XDR ou les solutions de Gestion des informations et des événements de sécurité (SIEM) comme Microsoft Sentinel, par exemple. La norme du secteur pour décrire les informations de cybermenace est appelée « Expression structurée d’informations sur les menaces » ou STIX. En utilisant l’API de téléchargement qui prend en charge les objets STIX, vous utilisez un moyen plus expressif pour importer des informations sur les menaces dans Microsoft Sentinel.

L'API de téléchargement ingère des informations sur les menaces dans Microsoft Sentinel sans avoir besoin d'un connecteur de données. Cet article décrit les exigences pour vous connecter. Pour plus d'informations sur les détails de l'API, consultez le document de référence API de téléchargement Microsoft Sentinel.

Capture d’écran montrant le chemin d’accès d’importation de la veille des menaces.

Pour découvrir plus d’informations sur la veille des menaces, consultez Veille des menaces.

Important

L'API de téléchargement des renseignements sur les menaces Microsoft Sentinel est en version préliminaire. Voir les Avenant aux conditions d’utilisation supplémentaires pour les préversions de Microsoft Azure pour découvrir plus de conditions juridiques applicables aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui n’ont pas encore été mises en disponibilité générale.

Microsoft Sentinel est en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft dans le portail Microsoft Defender. Pour la préversion, Microsoft Sentinel est disponible dans le portail Defender sans Microsoft Defender XDR ou une licence E5. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Remarque

Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.

Prérequis

  • Vous devez disposer d’autorisations en lecture et en écriture sur l’espace de travail Microsoft Sentinel pour stocker vos objets STIX de veille des menaces.
  • Vous devez être en mesure d’inscrire une application Microsoft Entra.
  • Votre application Microsoft Entra doit se voir accorder le rôle de contributeur Microsoft Sentinel au niveau de l’espace de travail.

Instructions

Effectuez les étapes suivantes pour importer des objets STIX de veille des menaces dans Microsoft Sentinel à partir de votre TIP intégrée ou de votre solution personnalisée de veille des menaces :

  1. Inscrivez une application Microsoft Entra, puis enregistrez son ID d’application.
  2. Générez, puis enregistrez une clé secrète client pour votre application Microsoft Entra.
  3. Attribuez à votre application Microsoft Entra le rôle de Contributeur Microsoft Sentinel ou un rôle équivalent.
  4. Configurez votre solution TIP ou votre application personnalisée.

Enregistrer une application Microsoft Entra

Les autorisations de rôle utilisateur par défaut permettent aux utilisateurs de créer des inscriptions d’applications. Si ce paramètre a été basculé sur Non, vous avez besoin d’une autorisation pour gérer les applications dans Microsoft Entra. Les rôles Microsoft Entra suivants incluent les autorisations nécessaires :

  • Administrateur d’application
  • Développeur d’applications
  • Administrateur d’application cloud

Si vous souhaitez en savoir plus sur l’inscription de votre application Microsoft Entra, veuillez consulter la rubrique Inscrire une application.

Après avoir inscrit votre application, enregistrez son ID d’application (client) à partir de l’onglet Vue d’ensemble de l’application.

Attribuer un rôle à l’application

L’API de téléchargement ingère des objets de renseignement sur les menaces au niveau de l’espace de travail et nécessite le rôle de contributeur Microsoft Sentinel.

  1. Dans le Portail Azure, accédez aux espaces de travail Log Analytics.

  2. Sélectionnez Contrôle d’accès (IAM) .

  3. Sélectionnez Ajouter>Ajouter une attribution de rôle.

  4. Sous l’onglet Rôle, sélectionnez le rôle Contributeur Microsoft Sentinel, puis Suivant.

  5. Sous l’onglet Membres, sélectionnez Attribuer l’accès à>Utilisateur, groupe ou principal du service.

  6. Sélectionnez des membres. Par défaut, les applications Microsoft Entra ne figurent pas dans les options disponibles. Pour trouver votre application, recherchez-la par son nom.

    Capture d’écran montrant le rôle de Contributeur Microsoft Sentinel attribué à l’application au niveau de l’espace de travail.

  7. Sélectionnez Vérifier + attribuer.

Si vous souhaitez en savoir plus sur l’attribution de rôles à des applications, veuillez consulter la rubrique Attribuer un rôle à l’application.

Configurer votre solution de plateforme de veille des menaces ou votre application personnalisée

Les informations de configuration suivantes sont requises par l'API de téléchargement :

  • ID d’application (client)
  • Jeton d’accès Microsoft Entra avec authentification OAuth 2.0
  • ID de l’espace de travail Microsoft Sentinel

Entrez ces valeurs dans la configuration de votre solution de plateforme Threat Intelligence ou votre solution personnalisée, si nécessaire.

  1. Soumettez les renseignements sur les menaces à l’API de téléchargement. Pour plus d’informations, consultez l’API de téléchargement Microsoft Sentinel.
  2. Après quelques minutes, les objets de veille des menaces doivent commencer à circuler dans votre espace de travail Microsoft Sentinel. Vous trouverez les nouveaux objets STIX sur la page Veille des menaces, accessible à partir du menu Microsoft Sentinel.

Contenu connexe

Dans cet article, vous avez appris à connecter votre TIP à Microsoft Sentinel. Pour découvrir plus d’informations sur l’utilisation de la veille des menaces dans Microsoft Sentinel, consultez les articles suivants :