Łącznik interfejsu API przekazywania analizy zagrożeń (wersja zapoznawcza) dla usługi Microsoft Sentinel
Usługa Microsoft Sentinel oferuje interfejs API płaszczyzny danych umożliwiający korzystanie z analizy zagrożeń z poziomu platformy analizy zagrożeń (TIP), takich jak Threat Connect, Palo Alto Networks MineMeld, MISP lub inne zintegrowane aplikacje. Wskaźniki zagrożeń mogą obejmować adresy IP, domeny, adresy URL, skróty plików i adresy e-mail. Aby uzyskać więcej informacji, zobacz dokumentację usługi Microsoft Sentinel.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
Atrybuty łącznika
| Atrybut łącznika | opis |
|---|---|
| Tabele usługi Log Analytics | ThreatIntelligenceIndicator |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | Microsoft Corporation |
Przykłady zapytań
Wszystkie wskaźniki interfejsów API analizy zagrożeń
ThreatIntelligenceIndicator
| where SourceSystem !in ('SecurityGraph', 'Azure Sentinel', 'Microsoft Sentinel')
| sort by TimeGenerated desc
Instrukcje instalacji dostawcy
Źródła danych analizy zagrożeń można połączyć z usługą Microsoft Sentinel, wykonując jedną z następujących czynności:
Korzystanie ze zintegrowanej platformy Threat Intelligence Platform (TIP), takiej jak Threat Connect, Palo Alto Networks MineMeld, MISP i inne.
Wywoływanie interfejsu API płaszczyzny danych usługi Microsoft Sentinel bezpośrednio z innej aplikacji.
- Uwaga: "Stan" łącznika nie będzie wyświetlany w tym miejscu jako "Połączony", ponieważ dane są pozyskiwane przez wywołanie interfejsu API.
Wykonaj następujące kroki, aby nawiązać połączenie z analizą zagrożeń:
- Uzyskiwanie tokenu dostępu identyfikatora entra firmy Microsoft
[concat('Aby wysłać żądanie do interfejsów API, musisz uzyskać token dostępu usługi Azure Active Directory. Instrukcje można wykonać na tej stronie: /azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token
- Uwaga: Zażądaj tokenu dostępu usługi AAD z wartością zakresu: ', variables('management'), '.default')]
- Wysyłanie obiektów STIX do usługi Sentinel
Obsługiwane typy obiektów STIX można wysłać, wywołując interfejs API przekazywania. Aby uzyskać więcej informacji na temat interfejsu API, kliknij tutaj.
Metoda HTTP: POST
Punkt końcowy: https://api.ti.sentinel.azure.com/workspaces/[WorkspaceID]/threatintelligence-stix-objects:upload?api-version=2024-02-01
WorkspaceID: obszar roboczy, do którego są przekazywane obiekty STIX.
Wartość nagłówka 1: "Authorization" = "Bearer [Microsoft Entra ID Access Token from step 1]"
Wartość nagłówka 2: "Content-Type" = "application/json"
Treść: Treść jest obiektem JSON zawierającym tablicę obiektów STIX.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.