Udostępnij za pośrednictwem

Łączenie platformy analizy zagrożeń z usługą Microsoft Sentinel

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Uwaga

Ten łącznik danych znajduje się na ścieżce do wycofania. Więcej informacji zostanie opublikowanych na dokładnej osi czasu. Użyj nowego łącznika danych interfejsu API przekazywania wskaźników analizy zagrożeń, aby uzyskać nowe rozwiązania w przyszłości. Aby uzyskać więcej informacji, zobacz Łączenie platformy analizy zagrożeń z usługą Microsoft Sentinel przy użyciu interfejsu API przekazywania wskaźników.

Wiele organizacji korzysta z rozwiązań platformy analizy zagrożeń (TIP), aby agregować źródła wskaźników zagrożeń z różnych źródeł. Z zagregowanego źródła danych dane są wyselekcjonowane w celu zastosowania do rozwiązań zabezpieczeń, takich jak urządzenia sieciowe, rozwiązania EDR/XDR lub rozwiązania do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), takie jak Microsoft Sentinel. Za pomocą łącznika danych TIP można użyć tych rozwiązań do importowania wskaźników zagrożeń do usługi Microsoft Sentinel.

Ponieważ łącznik danych TIP współpracuje z interfejsem API tiIndicators zabezpieczeń programu Microsoft Graph w celu wykonania tego procesu, możesz użyć łącznika do wysyłania wskaźników do usługi Microsoft Sentinel (i innych rozwiązań zabezpieczeń firmy Microsoft, takich jak Defender XDR) z dowolnej innej niestandardowej porady, która może komunikować się z tym interfejsem API.

Zrzut ekranu przedstawiający ścieżkę importowania analizy zagrożeń.

Uwaga

Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.

Dowiedz się więcej na temat analizy zagrożeń w usłudze Microsoft Sentinel, a w szczególności o produktach TIP, które można zintegrować z usługą Microsoft Sentinel.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wymagania wstępne

  • Aby zainstalować, zaktualizować i usunąć autonomiczną zawartość lub rozwiązania w centrum zawartości, potrzebna jest rola Współautor usługi Microsoft Sentinel na poziomie grupy zasobów.
  • Aby udzielić uprawnień do produktu TIP lub dowolnej innej aplikacji niestandardowej korzystającej z bezpośredniej integracji z interfejsem API wskaźników TI programu Microsoft Graph, musisz mieć rolę Administratora zabezpieczeń firmy Microsoft lub równoważne uprawnienia.
  • Aby przechowywać wskaźniki zagrożeń, musisz mieć uprawnienia do odczytu i zapisu w obszarze roboczym usługi Microsoft Sentinel.

Instrukcje

Aby zaimportować wskaźniki zagrożeń do usługi Microsoft Sentinel ze zintegrowanego rozwiązania PORAD lub niestandardowej analizy zagrożeń, wykonaj następujące kroki:

  1. Uzyskaj identyfikator aplikacji i klucz tajny klienta z identyfikatora entra firmy Microsoft.
  2. Wprowadź te informacje w rozwiązaniu TIP lub aplikacji niestandardowej.
  3. Włącz łącznik danych TIP w usłudze Microsoft Sentinel.

Rejestrowanie się w celu uzyskania identyfikatora aplikacji i wpisu tajnego klienta z identyfikatora entra firmy Microsoft

Niezależnie od tego, czy pracujesz z rozwiązaniem TIP, czy niestandardowym, interfejs API tiIndicators wymaga pewnych podstawowych informacji, aby umożliwić łączenie kanału informacyjnego z nim i wysyłanie do niego wskaźników zagrożenia. Trzy potrzebne informacje to:

  • Identyfikator aplikacji (klient)
  • Identyfikator katalogu (dzierżawcy)
  • Klucz tajny klienta

Te informacje można uzyskać z witryny Microsoft Entra ID za pośrednictwem rejestracji aplikacji, która obejmuje następujące trzy kroki:

  • Zarejestruj aplikację przy użyciu identyfikatora Entra firmy Microsoft.
  • Określ uprawnienia wymagane przez aplikację do nawiązania połączenia z interfejsem API tiIndicators programu Microsoft Graph i wysyłanie wskaźników zagrożeń.
  • Uzyskaj zgodę organizacji, aby udzielić tych uprawnień tej aplikacji.

Rejestrowanie aplikacji przy użyciu identyfikatora Entra firmy Microsoft

  1. W witrynie Azure Portal przejdź do pozycji Microsoft Entra ID.

  2. W menu wybierz pozycję Rejestracje aplikacji, a następnie wybierz pozycję Nowa rejestracja.

  3. Wybierz nazwę rejestracji aplikacji, wybierz pozycję Pojedyncza dzierżawa, a następnie wybierz pozycję Zarejestruj.

    Zrzut ekranu przedstawiający rejestrowanie aplikacji.

  4. Na wyświetlonym ekranie skopiuj wartości Identyfikator aplikacji (klienta) i Identyfikator katalogu (dzierżawy). Te dwie informacje będą potrzebne później, aby skonfigurować rozwiązanie TIP lub niestandardowe w celu wysyłania wskaźników zagrożeń do usługi Microsoft Sentinel. Trzeci potrzebny element informacji, wpis tajny klienta, pojawia się później.

Określanie uprawnień wymaganych przez aplikację

  1. Wróć do strony głównej identyfikatora Entra firmy Microsoft.

  2. W menu wybierz pozycję Rejestracje aplikacji, a następnie wybierz nowo zarejestrowaną aplikację.

  3. W menu wybierz pozycję Uprawnienia>interfejsu API Dodaj uprawnienie.

  4. Na stronie Wybieranie interfejsu API wybierz interfejs API programu Microsoft Graph . Następnie wybierz z listy uprawnień programu Microsoft Graph.

  5. W wierszu polecenia Jakiego typu uprawnienia wymaga Aplikacja? wybierz pozycję Uprawnienia aplikacji. To uprawnienie jest typem używanym przez aplikacje, które uwierzytelniają się za pomocą identyfikatora aplikacji i wpisów tajnych aplikacji (kluczy interfejsu API).

  6. Wybierz pozycję ThreatIndicators.ReadWrite.OwnedBy, a następnie wybierz pozycję Dodaj uprawnienia , aby dodać to uprawnienie do listy uprawnień aplikacji.

    Zrzut ekranu przedstawiający określanie uprawnień.

  1. Aby udzielić zgody, wymagana jest rola uprzywilejowana. Aby uzyskać więcej informacji, zobacz Udzielanie zgody administratora dla całej dzierżawy na aplikację.

    Zrzut ekranu przedstawiający udzielanie zgody.

  2. Po udzieleniu zgody aplikacji powinien zostać wyświetlony zielony znacznik wyboru w obszarze Stan.

Po zarejestrowaniu aplikacji i udzieleniu uprawnień należy uzyskać klucz tajny klienta dla aplikacji.

  1. Wróć do strony głównej identyfikatora Entra firmy Microsoft.

  2. W menu wybierz pozycję Rejestracje aplikacji, a następnie wybierz nowo zarejestrowaną aplikację.

  3. W menu wybierz pozycję Certyfikaty i wpisy tajne. Następnie wybierz pozycję Nowy klucz tajny klienta, aby otrzymać wpis tajny (klucz interfejsu API) dla aplikacji.

    Zrzut ekranu przedstawiający pobieranie wpisu tajnego klienta.

  4. Wybierz pozycję Dodaj, a następnie skopiuj klucz tajny klienta.

    Ważne

    Przed opuszczeniem tego ekranu należy skopiować klucz tajny klienta. Nie można ponownie pobrać tego wpisu tajnego, jeśli odejdziesz z tej strony. Ta wartość jest potrzebna podczas konfigurowania rozwiązania PORADa lub niestandardowego.

Wprowadź te informacje w rozwiązaniu TIP lub aplikacji niestandardowej

Masz teraz wszystkie trzy informacje potrzebne do skonfigurowania rozwiązania TIP lub niestandardowego w celu wysyłania wskaźników zagrożeń do usługi Microsoft Sentinel:

  • Identyfikator aplikacji (klient)
  • Identyfikator katalogu (dzierżawcy)
  • Klucz tajny klienta

Wprowadź te wartości w konfiguracji zintegrowanego rozwiązania TIP lub niestandardowego, jeśli jest to wymagane.

  1. W przypadku produktu docelowego określ usługę Azure Sentinel. (Określanie Usługa Microsoft Sentinel powoduje wystąpienie błędu).

  2. W przypadku akcji określ alert.

Po zakończeniu konfiguracji wskaźniki zagrożeń są wysyłane z rozwiązania TIP lub niestandardowego za pośrednictwem interfejsu API tiIndicators programu Microsoft Graph przeznaczonego dla usługi Microsoft Sentinel.

Włączanie łącznika danych TIP w usłudze Microsoft Sentinel

Ostatnim krokiem procesu integracji jest włączenie łącznika danych TIP w usłudze Microsoft Sentinel. Włączenie łącznika umożliwia usłudze Microsoft Sentinel odbieranie wskaźników zagrożeń wysyłanych z rozwiązania TIP lub niestandardowego. Te wskaźniki są dostępne dla wszystkich obszarów roboczych usługi Microsoft Sentinel dla twojej organizacji. Aby włączyć łącznik danych TIP dla każdego obszaru roboczego, wykonaj następujące kroki:

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zawartością wybierz pozycję Centrum zawartości.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Centrum zawartości zarządzania zawartością>usługi Microsoft Sentinel.>

  2. Znajdź i wybierz rozwiązanie analizy zagrożeń.

  3. Wybierz przycisk Zainstaluj/Aktualizuj.

    Aby uzyskać więcej informacji na temat zarządzania składnikami rozwiązania, zobacz Odnajdywanie i wdrażanie gotowej zawartości.

  4. Aby skonfigurować łącznik danych TIP, wybierz pozycję Łączniki danych konfiguracji>.

  5. Znajdź i wybierz łącznik danych Platformy analizy zagrożeń, a następnie wybierz stronę Otwórz łącznik.

    Zrzut ekranu przedstawiający stronę Łączniki danych z wyświetlonym łącznikiem danych platform analizy zagrożeń.

  6. Ponieważ rejestracja aplikacji została już zakończona i skonfigurowano rozwiązanie TIP lub niestandardowe w celu wysyłania wskaźników zagrożeń, jedynym krokiem po lewej stronie jest wybranie pozycji Połącz.

W ciągu kilku minut wskaźniki zagrożeń powinny zacząć przepływać do tego obszaru roboczego usługi Microsoft Sentinel. Nowe wskaźniki można znaleźć w okienku Analiza zagrożeń, do którego można uzyskać dostęp z menu usługi Microsoft Sentinel.

Powiązana zawartość

W tym artykule przedstawiono sposób łączenia porad z usługą Microsoft Sentinel. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły: