Connecteur Threat Intelligence Upload Indicators API (préversion) pour Microsoft Sentinel
Microsoft Sentinel propose une API de plan de données pour fournir une veille des menaces à partir de votre plateforme TIP (Threat Intelligence Platform), telle que Threat Connect, Palo Alto Networks MineMeld, MISP ou d’autres applications intégrées. Les indicateurs de menace peuvent inclure des adresses IP, des domaines, des URL, des hachages de fichiers et des adresses e-mail. Pour plus d’informations, consultez la documentation Microsoft Sentinel.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | ThreatIntelligenceIndicator |
| Prise en charge des règles de collecte de données | Non prise en charge pour le moment |
| Pris en charge par | Microsoft Corporation |
Exemples de requête
Tous les indicateurs des API de veille des menaces
ThreatIntelligenceIndicator
| where SourceSystem !in ('SecurityGraph', 'Azure Sentinel', 'Microsoft Sentinel')
| sort by TimeGenerated desc
Instructions d’installation du fournisseur
Vous pouvez connecter vos sources de données de veille des menaces à Microsoft Sentinel de l’une des façons suivantes :
Utilisation d’une plateforme TIP intégrée, telle que Threat Connect, Palo Alto Networks MineMeld, MISP et autres.
Appel de l’API de plan de données Microsoft Sentinel directement à partir d’une autre application.
- Remarque : L’état du connecteur n’apparaît pas ici comme « Connecté », car les données sont ingérées en effectuant un appel d’API.
Suivez ces étapes pour vous connecter à votre service de veille des menaces :
- Obtenir un jeton d’accès Microsoft Entra ID
[concat('Pour envoyer une requête aux API, vous devez acquérir un jeton d’accès Azure Active Directory. Vous pouvez suivre les instructions de cette page : /azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token
- Remarque : Demandez un jeton d’accès AAD avec la valeur d’étendue ', variables('management'), '.default')]
- Envoyer des indicateurs à Sentinel
Vous pouvez envoyer des indicateurs en appelant notre API Upload Indicators. Pour plus d’informations sur l’API, cliquez ici.
Méthode HTTP : POST
Point de terminaison :
https://api.ti.sentinel.azure.com/workspaces/[WorkspaceID]/threatintelligenceindicators:upload?api-version=2022-07-01
ID_espace_de_travail : espace de travail dans lequel les indicateurs sont chargés.
Valeur d’en-tête 1 : "Authorization" = "Bearer [Jeton d’accès Microsoft Entra ID de l’étape 1]"
Valeur d’en-tête 2 : "Content-Type" = "application/json"
Corps : le corps est un objet JSON contenant un tableau d’indicateurs au format STIX.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.