Connector voor Threat Intelligence Upload Indicators API (preview) voor Microsoft Sentinel
Microsoft Sentinel biedt een gegevensvlak-API voor het ophalen van bedreigingsinformatie van uw Threat Intelligence Platform (TIP), zoals Threat Connect, Palo Alto Networks MineMeld, MISP of andere geïntegreerde toepassingen. Bedreigingsindicatoren kunnen IP-adressen, domeinen, URL's, bestands-hashes en e-mailadressen bevatten. Zie de documentatie van Microsoft Sentinel voor meer informatie.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Connectorkenmerken
| Kenmerk connector | Beschrijving |
|---|---|
| Log Analytics-tabellen | ThreatIntelligenceIndicator |
| Ondersteuning voor regels voor gegevensverzameling | Wordt momenteel niet ondersteund |
| Ondersteund door | Microsoft Corporation |
Voorbeelden van query's
Alle Bedreigingsinformatie-API-indicatoren
ThreatIntelligenceIndicator
| where SourceSystem !in ('SecurityGraph', 'Azure Sentinel', 'Microsoft Sentinel')
| sort by TimeGenerated desc
Installatie-instructies van leverancier
U kunt uw gegevensbronnen voor bedreigingsinformatie verbinden met Microsoft Sentinel door:
Met behulp van een geïntegreerd Threat Intelligence Platform (TIP), zoals Threat Connect, Palo Alto Networks MineMeld, MISP en andere.
De Microsoft Sentinel-gegevensvlak-API rechtstreeks vanuit een andere toepassing aanroepen.
- Opmerking: de status van de connector wordt hier niet weergegeven als Verbonden, omdat de gegevens worden opgenomen door een API-aanroep te maken.
Volg deze stappen om verbinding te maken met uw bedreigingsinformatie:
- Toegangstoken voor Microsoft Entra-id ophalen
[concat('To send request to the API's, you need to acquire Azure Active Directory access token. U kunt instructies volgen op deze pagina: /azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token
- Kennisgeving: Vraag AAD-toegangstoken aan met bereikwaarde: ', variables('management'), '.default')]
- Indicatoren verzenden naar Sentinel
U kunt indicatoren verzenden door de API voor uploadindicatoren aan te roepen. Klik hier voor meer informatie over de API.
HTTP-methode: POST
Eindpunt:
https://api.ti.sentinel.azure.com/workspaces/[WorkspaceID]/threatintelligenceindicators:upload?api-version=2022-07-01
WorkspaceID: de werkruimte waarnaar de indicatoren worden geüpload.
Headerwaarde 1: "Authorization" = "Bearer [Microsoft Entra ID Access Token from step 1]"
Headerwaarde 2: "Content-Type" = "application/json"
Hoofdtekst: De hoofdtekst is een JSON-object met een matrix met indicatoren in STIX-indeling.
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.