Connettore API Per il caricamento degli indicatori di Intelligence per le minacce (anteprima) per Microsoft Sentinel
Microsoft Sentinel offre un'API del piano dati per l'uso di intelligence sulle minacce dalla piattaforma tip (Threat Intelligence Platform), ad esempio Threat Connect, Palo Alto Networks MineMeld, MISP o altre applicazioni integrate. Gli indicatori di minaccia possono includere indirizzi IP, domini, URL, hash di file e indirizzi di posta elettronica. Per altre informazioni, consultare la documentazione Microsoft Sentinel.
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
| Attributo connettore | Descrizione |
|---|---|
| Tabelle Log Analytics | ThreatIntelligenceIndicator |
| Supporto regole di raccolta dati | Non è al momento supportato |
| Supportata da: | Microsoft Corporation |
Esempi di query
Tutti gli indicatori delle API di Intelligence per le minacce
ThreatIntelligenceIndicator
| where SourceSystem !in ('SecurityGraph', 'Azure Sentinel', 'Microsoft Sentinel')
| sort by TimeGenerated desc
Istruzioni per l’installazione di Vendor
È possibile connettere le origini dati di Intelligence per le minacce a Microsoft Sentinel eseguendo una delle operazioni seguenti:
Uso di una piattaforma di Intelligence sulle minacce integrata (TIP), ad esempio Threat Connect, Palo Alto Networks MineMeld, MISP e altri.
Chiamata dell'API del piano dati di Microsoft Sentinel direttamente da un'altra applicazione.
- Nota: lo "Stato" del connettore non verrà visualizzato come "Connesso" in questo caso, perché i dati vengono inseriti effettuando una chiamata API.
Seguire questa procedura per connettersi all'intelligence per le minacce:
- Ottenere il token di accesso all'ID Microsoft Entra
[concat('Per inviare una richiesta alle API, è necessario acquisire il token di accesso di Azure Active Directory. È possibile seguire le istruzioni in questa pagina: /azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token
- Nota: richiedi token di accesso AAD con valore di ambito: ', variables('management'), '.default')]
- Inviare indicatori a Sentinel
È possibile inviare indicatori chiamando l'API Carica indicatori. Per altre informazioni sull'API, fare clic qui.
Metodo HTTP: POST
Endpoint:
https://api.ti.sentinel.azure.com/workspaces/[WorkspaceID]/threatintelligenceindicators:upload?api-version=2022-07-01
WorkspaceID: area di lavoro in cui vengono caricati gli indicatori.
Valore intestazione 1: "Authorization" = "Bearer [Microsoft Entra ID Access Token from step 1]"
Valore intestazione 2: "Content-Type" = "application/json"
Corpo: il corpo è un oggetto JSON contenente una matrice di indicatori in formato STIX.
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.