Microsoft Sentinel용 위협 인텔리전스 업로드 표시기 API(미리 보기) 커넥터
Microsoft Sentinel은 Threat Connect, Palo Alto Networks MineMeld, MISP 또는 기타 통합 애플리케이션과 같은 TIP(위협 인텔리전스 플랫폼)에서 위협 인텔리전스를 가져오는 데이터 평면 API를 제공합니다. 위협 표시기에는 IP 주소, 도메인, URL, 파일 해시 및 이메일 주소가 포함될 수 있습니다. 자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.
자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.
커넥터 특성
| 커넥터 특성 | 설명 |
|---|---|
| Log Analytics 테이블 | ThreatIntelligenceIndicator |
| 데이터 수집 규칙 지원 | 현재 지원되지 않음 |
| 다음에서 지원 | Microsoft Corporation |
쿼리 샘플
모든 위협 인텔리전스 API 표시기
ThreatIntelligenceIndicator
| where SourceSystem !in ('SecurityGraph', 'Azure Sentinel', 'Microsoft Sentinel')
| sort by TimeGenerated desc
공급업체 설치 지침
다음 중 하나를 통해 위협 인텔리전스 데이터 원본을 Microsoft Sentinel에 연결할 수 있습니다.
Threat Connect, Palo Alto Networks MineMeld, MISP 등과 같은 TIP(통합 위협 인텔리전스 플랫폼)를 사용합니다.
다른 애플리케이션에서 직접 Microsoft Sentinel 데이터 평면 API를 호출합니다.
- 참고: 데이터가 API 호출을 수행하여 수집되므로 커넥터의 '상태'는 여기에 '연결됨'으로 표시되지 않습니다.
다음 단계에 따라 위협 인텔리전스에 연결합니다.
- Microsoft Entra ID 액세스 토큰 가져오기
[concat('API에 요청을 보내려면 Azure Active Directory 액세스 토큰을 획득해야 합니다. 다음 페이지의 지침을 따를 수 있습니다. /azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token
- 참고: 범위 값이 ', variables('management'), '.default')인 AAD 액세스 토큰을 요청하세요.
- Sentinel에 표시기 보내기
업로드 표시기 API를 호출하여 표시기를 보낼 수 있습니다. API에 대한 자세한 내용은 여기를 클릭하세요.
HTTP 메서드: POST
엔드포인트:
https://api.ti.sentinel.azure.com/workspaces/[WorkspaceID]/threatintelligenceindicators:upload?api-version=2022-07-01
WorkspaceID: 표시기가 업로드되는 작업 영역입니다.
헤더 값 1: "권한 부여" = "전달자 [1단계의 Microsoft Entra ID 액세스 토큰]"
헤더 값 2: "Content-Type" = "application/json"
본문: 본문은 STIX 형식의 표시기 배열을 포함하는 JSON 개체입니다.
다음 단계
자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.