Compartilhar via

Conectar sua plataforma de inteligência contra ameaças ao Microsoft Sentinel com a API de upload (versão prévia)

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Muitas organizações usam as soluções da plataforma de inteligência contra ameaças (TIP) para agregar feeds de inteligência contra ameaças de várias fontes. A partir do feed agregado, os dados são selecionados para serem aplicados a soluções de segurança, como dispositivos de rede, soluções de EDR/XDR ou soluções de gerenciamento de eventos e informações de segurança (SIEM), como o Microsoft Sentinel. O padrão do setor para descrever as informações de ameaças cibernéticas é chamado de "Expressão de Informações de Ameaças Estruturadas" ou STIX. Usando a API de upload que dá suporte a objetos STIX, você usa uma maneira mais expressiva de importar inteligência contra ameaças para o Microsoft Sentinel.

A API de upload ingere inteligência contra ameaças no Microsoft Sentinel sem a necessidade de um conector de dados. Este artigo descreve o que você precisa para se conectar. Para obter mais informações sobre os detalhes da API, confira o documento de referência API de upload do Microsoft Sentinel.

Captura de tela que mostra o caminho de importação da inteligência contra ameaças.

Para obter mais informações sobre inteligência contra ameaças, consulte Inteligência contra ameaças.

Importante

A API de upload de inteligência contra ameaças do Microsoft Sentinel está em versão prévia. Consulte os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos mais legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou ainda não lançados em disponibilidade geral.

O Microsoft Sentinel está geralmente disponível na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para a versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem uma licença do E5 ou o Microsoft Defender XDR. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Observação

Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Pré-requisitos

  • Você precisa ter permissões de leitura e gravação no espaço de trabalho do Microsoft Sentinel para armazenar seus objetos STIX de inteligência contra ameaças.
  • Você deve ser capaz de registrar um aplicativo do Microsoft Entra.
  • Seu aplicativo Microsoft Entra deve receber a função de Colaborador do Microsoft Sentinel no nível do espaço de trabalho.

Instruções

Siga estas etapas para importar os objetos STIX de inteligência contra ameaças da sua TIP integrada ou solução personalizada de inteligência contra ameaças para o Microsoft Sentinel:

  1. Registre um aplicativo Microsoft Entra e, em seguida, registre a ID do aplicativo.
  2. Gere e registre um segredo do cliente para seu aplicativo Microsoft Entra.
  3. Atribua ao seu aplicativo Microsoft Entra a função de Colaborador do Microsoft Sentinel ou equivalente.
  4. Configure sua solução TIP ou aplicativo personalizado.

Registrar um aplicativo do Microsoft Entra

As permissões de função de usuário padrão permitem que os usuários criem registros de aplicativo. Se essa configuração foi alterada para Não, você precisa de permissão para gerenciar aplicativos no Microsoft Entra. Qualquer uma das seguintes funções do Microsoft Entra inclui as permissões necessárias:

  • Administrador de aplicativos
  • Desenvolvedor de aplicativo
  • Administrador de aplicativos de nuvem

Para obter mais informações sobre como registrar seu aplicativo Microsoft Entra, consulte Registrar um aplicativo.

Depois de registrar o aplicativo, registre a ID do Aplicativo (cliente) na guia Visão Geral do aplicativo.

Atribuir uma função ao aplicativo

A API de upload ingere objetos de inteligência contra ameaças no nível do espaço de trabalho e requer a função de Colaborador do Microsoft Sentinel.

  1. A partir do portal do Azure, acesse Espaços de trabalho do Log Analytics.

  2. Selecione IAM (Controle de acesso) .

  3. Selecione Adicionar>Adicionar atribuição de função.

  4. Na guia Função, selecione a função Colaborador do Microsoft Sentinel e, em seguida, selecione Avançar.

  5. Na guia Membros, selecione Atribuir acesso a>Usuário, grupo ou entidade de serviço.

  6. Selecionar membros. Por padrão, os aplicativos do Microsoft Entra não são exibidos nas opções disponíveis. Para encontrar seu aplicativo, procure-o pelo nome.

    Captura de tela que mostra a função de Colaborador do Microsoft Sentinel atribuída ao aplicativo no nível do espaço de trabalho.

  7. Selecione Examinar + atribuir.

Para obter mais informações sobre como atribuir funções a aplicativos, confira Atribuir uma função ao aplicativo.

Configure sua solução de plataforma de inteligência contra ameaças ou aplicativo personalizado

As informações de configuração a seguir são exigidas pela API de upload:

  • ID do aplicativo (cliente)
  • Token de acesso do Microsoft Entra com a autenticação OAuth 2.0
  • ID do espaço de trabalho do Microsoft Sentinel

Insira esses valores na configuração da TIP integrada ou da solução personalizado quando exigido.

  1. Envie a inteligência contra ameaças à API de upload. Para obter mais informações, confira API de upload do Microsoft Azure Sentinel.
  2. Em poucos minutos, os objetos de inteligência contra ameaças devem começar a fluir para seu espaço de trabalho do Microsoft Sentinel. Encontre os novos objetos STIX na página Inteligência contra ameaças, que pode ser acessado no menu do Microsoft Sentinel.

Conteúdo relacionado

Neste artigo, você aprendeu como conectar seu TIP ao Microsoft Sentinel. Para saber mais sobre como usar a inteligência contra ameaças no Microsoft Sentinel, confira os seguintes artigos: