Microsoft Sentinel 用 Threat Intelligence Upload Indicators API (プレビュー) コネクタ
Microsoft Sentinel は、Threat Connect、Palo Alto Networks MineMeld、MISP、その他の統合アプリケーションなど、脅威インテリジェンス プラットフォーム (TIP) から脅威インテリジェンスを取り込むデータ プレーン API を提供します。 脅威インジケーターには、IP アドレス、ドメイン、URL、ファイル ハッシュ、メール アドレスを含めることができます。 詳細については、Microsoft Sentinel のドキュメントを参照してください。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
コネクタ属性 | 説明 |
---|---|
Log Analytics テーブル | ThreatIntelligenceIndicator |
データ収集ルールのサポート | 現在、サポートされていません |
サポートしているもの | Microsoft Corporation |
クエリのサンプル
すべての Threat Intelligence API インジケーター
ThreatIntelligenceIndicator
| where SourceSystem !in ('SecurityGraph', 'Azure Sentinel', 'Microsoft Sentinel')
| sort by TimeGenerated desc
ベンダーのインストール手順
次のいずれかの方法で脅威インテリジェンス データ ソースを Microsoft Sentinel に接続できます。
Threat Connect、Palo Alto Networks MineMeld、MISP など、統合された脅威インテリジェンス プラットフォーム (TIP) を使用する。
Microsoft Sentinel データ プレーン API を別のアプリケーションから直接呼び出す。
- 注: データは API 呼び出しを行うことによって取り込まれるため、ここではコネクタの "状態" は "接続済み" として表示されません。
こちらの手順に従って脅威インテリジェンスに接続します。
- Microsoft Entra ID アクセス トークンを取得します
[concat ('API に要求を送信するには、Azure Active Directory アクセス トークンを取得する必要があります。 このページの指示に従うことができます: /azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token
- 注意: スコープ値を持つ AAD アクセス トークンを要求してください: ', variables('management'), '.default')]
- Sentinel にインジケーターを送信する
インジケーターは、Upload Indicators API を呼び出すことで送信できます。 API の詳細については、こちらをクリックしてください。
HTTP メソッド: POST
エンドポイント:
https://api.ti.sentinel.azure.com/workspaces/[WorkspaceID]/threatintelligenceindicators:upload?api-version=2022-07-01
WorkspaceID: インジケーターがアップロードされるワークスペース。
ヘッダー値 1: "Authorization" = "Bearer [手順 1 の Microsoft Entra ID アクセス トークン]"
ヘッダー値 2: "Content-Type" = "application/json"
本文: 本文は、STIX 形式のインジケーターの配列を含む JSON オブジェクトです。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。