Delen via

Uw bedreigingsinformatieplatform verbinden met Microsoft Sentinel

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Notitie

Deze gegevensconnector bevindt zich op een pad voor afschaffing. Meer informatie wordt gepubliceerd op de exacte tijdlijn. Gebruik de nieuwe API-gegevensconnector Voor het uploaden van bedreigingsinformatie voor nieuwe oplossingen. Zie Uw platform voor bedreigingsinformatie verbinden met Microsoft Sentinel met de upload-API voor meer informatie.

Veel organisaties gebruiken TIP-oplossingen (Threat Intelligence Platform) om feeds van bedreigingsindicatoren uit verschillende bronnen samen te voegen. Vanuit de geaggregeerde feed worden de gegevens gecureerd om toe te passen op beveiligingsoplossingen zoals netwerkapparaten, EDR-/XDR-oplossingen of SIEM-oplossingen (Security Information and Event Management), zoals Microsoft Sentinel. Met behulp van de TIP-gegevensconnector kunt u deze oplossingen gebruiken om bedreigingsindicatoren te importeren in Microsoft Sentinel.

Omdat de TIP-gegevensconnector werkt met de Microsoft Graph Security TiIndicators-API om dit proces uit te voeren, kunt u de connector gebruiken om indicatoren te verzenden naar Microsoft Sentinel (en naar andere Microsoft-beveiligingsoplossingen zoals Defender XDR) vanuit andere aangepaste TIP die met die API kan communiceren.

Schermopname van het importpad voor bedreigingsinformatie.

Notitie

Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.

Meer informatie over bedreigingsinformatie in Microsoft Sentinel en met name over de TIP-producten die u kunt integreren met Microsoft Sentinel.

Belangrijk

Microsoft Sentinel is algemeen beschikbaar binnen het geïntegreerde beveiligingsbewerkingsplatform van Microsoft in de Microsoft Defender-portal. Voor preview is Microsoft Sentinel beschikbaar in de Defender-portal zonder Microsoft Defender XDR of een E5-licentie. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Vereisten

  • Als u zelfstandige inhoud of oplossingen in de Inhoudshub wilt installeren, bijwerken en verwijderen, hebt u de rol Microsoft Sentinel-inzender nodig op het niveau van de resourcegroep.
  • Als u machtigingen wilt verlenen aan uw TIP-product of een andere aangepaste toepassing die gebruikmaakt van directe integratie met de Microsoft Graph TI Indicators-API, moet u de rol Microsoft Entra-beveiligingsbeheerder of de equivalente machtigingen hebben.
  • Als u uw bedreigingsindicatoren wilt opslaan, moet u lees- en schrijfmachtigingen hebben voor de Microsoft Sentinel-werkruimte.

Instructies

Als u bedreigingsindicatoren wilt importeren in Microsoft Sentinel vanuit uw geïntegreerde TIP- of aangepaste oplossing voor bedreigingsinformatie, voert u de volgende stappen uit:

  1. Haal een toepassings-id en clientgeheim op van Microsoft Entra-id.
  2. Voer deze informatie in uw TIP-oplossing of aangepaste toepassing in.
  3. Schakel de TIP-gegevensconnector in Microsoft Sentinel in.

Registreren voor een toepassings-id en clientgeheim van Microsoft Entra-id

Of u nu met een TIP of een aangepaste oplossing werkt, de TiIndicators-API vereist enkele basisinformatie om uw feed aan de feed te koppelen en bedreigingsindicatoren te verzenden. De drie gegevens die u nodig hebt, zijn:

  • Client-id van toepassing
  • Id van directory (tenant)
  • Clientgeheim

U kunt deze informatie ophalen van Microsoft Entra ID via app-registratie, waaronder de volgende drie stappen:

  • Registreer een app bij Microsoft Entra ID.
  • Geef de machtigingen op die de app nodig heeft om verbinding te maken met de Microsoft Graph tiIndicators-API en bedreigingsindicatoren te verzenden.
  • Vraag toestemming van uw organisatie om deze machtigingen aan deze toepassing te verlenen.

Een toepassing registreren bij Microsoft Entra-id

  1. Ga in Azure Portal naar Microsoft Entra-id.

  2. Selecteer app-registraties in het menu en selecteer vervolgens Nieuwe registratie.

  3. Kies een naam voor uw toepassingsregistratie, selecteer Één tenant en selecteer Vervolgens Registreren.

    Schermopname van het registreren van een toepassing.

  4. Kopieer op het scherm dat wordt geopend de waarden voor de toepassings-id en de map-id (tenant). U hebt deze twee gegevens later nodig om uw TIP of aangepaste oplossing te configureren om bedreigingsindicatoren naar Microsoft Sentinel te verzenden. Het derde stukje informatie dat u nodig hebt, het clientgeheim, komt later.

Geef de machtigingen op die zijn vereist voor de toepassing

  1. Ga terug naar de hoofdpagina van Microsoft Entra ID.

  2. Selecteer app-registraties in het menu en selecteer vervolgens uw zojuist geregistreerde app.

  3. Selecteer in het menu API-machtigingen>een machtiging toevoegen.

  4. Selecteer op de pagina Een API selecteren de Microsoft Graph API. Kies vervolgens een lijst met Microsoft Graph-machtigingen.

  5. Selecteer toepassingsmachtigingen bij de prompt Welk type machtigingen heeft uw toepassing nodig?. Deze machtiging is het type dat wordt gebruikt door toepassingen die worden geverifieerd met app-id en app-geheimen (API-sleutels).

  6. Selecteer ThreatIndicators.ReadWrite.OwnedBy en selecteer vervolgens Machtigingen toevoegen om deze machtiging toe te voegen aan de lijst met machtigingen van uw app.

    Schermopname van het opgeven van machtigingen.

  1. Als u toestemming wilt verlenen, is een bevoorrechte rol vereist. Zie Beheerderstoestemming voor de hele tenant verlenen aan een toepassing voor meer informatie.

    Schermopname van het verlenen van toestemming.

  2. Nadat toestemming is verleend aan uw app, ziet u een groen vinkje onder Status.

Nadat uw app is geregistreerd en machtigingen zijn verleend, moet u een clientgeheim voor uw app ophalen.

  1. Ga terug naar de hoofdpagina van Microsoft Entra ID.

  2. Selecteer app-registraties in het menu en selecteer vervolgens uw zojuist geregistreerde app.

  3. Selecteer certificaten en geheimen in het menu. Selecteer vervolgens Nieuw clientgeheim om een geheim (API-sleutel) voor uw app te ontvangen.

    Schermopname van het ophalen van een clientgeheim.

  4. Selecteer Toevoegen en kopieer het clientgeheim.

    Belangrijk

    U moet het clientgeheim kopiëren voordat u dit scherm verlaat. U kunt dit geheim niet meer ophalen als u van deze pagina afgaat. U hebt deze waarde nodig wanneer u uw TIP of aangepaste oplossing configureert.

Deze informatie invoeren in uw TIP-oplossing of aangepaste toepassing

U hebt nu alle drie de gegevens die u nodig hebt om uw TIP of aangepaste oplossing te configureren om bedreigingsindicatoren naar Microsoft Sentinel te verzenden:

  • Client-id van toepassing
  • Id van directory (tenant)
  • Clientgeheim

Voer indien nodig deze waarden in in de configuratie van uw geïntegreerde TIP of aangepaste oplossing.

  1. Geef Voor het doelproduct Azure Sentinel op. (Opgeven Microsoft Sentinel resulteert in een fout.)

  2. Geef voor de actie een waarschuwing op.

Nadat de configuratie is voltooid, worden bedreigingsindicatoren verzonden vanuit uw TIP of aangepaste oplossing, via de Microsoft Graph tiIndicators-API, gericht op Microsoft Sentinel.

De TIP-gegevensconnector inschakelen in Microsoft Sentinel

De laatste stap in het integratieproces is het inschakelen van de TIP-gegevensconnector in Microsoft Sentinel. Als u de connector inschakelt, kan Microsoft Sentinel de bedreigingsindicatoren ontvangen die worden verzonden vanuit uw TIP of aangepaste oplossing. Deze indicatoren zijn beschikbaar voor alle Microsoft Sentinel-werkruimten voor uw organisatie. Voer de volgende stappen uit om de TIP-gegevensconnector in te schakelen voor elke werkruimte:

  1. Voor Microsoft Sentinel in Azure Portal selecteert u onder Inhoudsbeheer de optie Inhoudshub.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Content Management>Content Hub.

  2. Zoek en selecteer de oplossing Bedreigingsinformatie .

  3. Selecteer de knop Installeren/bijwerken .

    Zie Out-of-The-Box-inhoud ontdekken en implementeren voor meer informatie over het beheren van de oplossingsonderdelen.

  4. Als u de TIP-gegevensconnector wilt configureren, selecteert u Configuratiegegevensconnectors>.

  5. Zoek en selecteer de Bedreigingsinformatieplatforms: DE AFGESCHAFTE gegevensconnector en selecteer vervolgens de pagina Connector openen.

    Schermopname van de pagina Gegevensconnectors met de gegevensconnector Bedreigingsinformatieplatformen vermeld.

  6. Omdat u de app-registratie al hebt voltooid en uw TIP of aangepaste oplossing hebt geconfigureerd om bedreigingsindicatoren te verzenden, is de enige stap links om Verbinding maken te selecteren.

Binnen een paar minuten moeten bedreigingsindicatoren beginnen te stromen naar deze Microsoft Sentinel-werkruimte. U vindt de nieuwe indicatoren in het deelvenster Bedreigingsinformatie , waartoe u toegang hebt via het microsoft Sentinel-menu.

Gerelateerde inhoud

In dit artikel hebt u geleerd hoe u uw TIP kunt verbinden met Microsoft Sentinel met behulp van een methode op pad voor afschaffing. Zie Uw TIP verbinden met de upload-API om uw TIP te verbinden met behulp van de aanbevolen methode.