Partilhar via

Conecte sua plataforma de inteligência de ameaças ao Microsoft Sentinel com a API de carregamento (Visualização)

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Muitas organizações usam soluções de plataforma de inteligência de ameaças (TIP) para agregar feeds de inteligência de ameaças de várias fontes. A partir do feed agregado, os dados são selecionados para serem aplicados a soluções de segurança, como dispositivos de rede, soluções EDR/XDR ou soluções de gerenciamento de eventos e informações de segurança (SIEM), como o Microsoft Sentinel. O padrão do setor para descrever informações sobre ameaças cibernéticas é chamado de "Expressão de Informações de Ameaças Estruturadas" ou STIX. Usando a API de carregamento que suporta objetos STIX, você usa uma maneira mais expressiva de importar informações sobre ameaças para o Microsoft Sentinel.

A API de carregamento ingere informações sobre ameaças no Microsoft Sentinel sem a necessidade de um conector de dados. Este artigo descreve o que você precisa para se conectar. Para obter mais informações sobre os detalhes da API, consulte o documento de referência Microsoft Sentinel upload API.

Captura de tela que mostra o caminho de importação de informações sobre ameaças.

Para obter mais informações sobre informações sobre ameaças, consulte Informações sobre ameaças.

Importante

A API de carregamento de informações sobre ameaças do Microsoft Sentinel está em pré-visualização. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter mais termos legais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Nota

Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Pré-requisitos

  • Você deve ter permissões de leitura e gravação no espaço de trabalho do Microsoft Sentinel para armazenar seus objetos STIX de inteligência de ameaças.
  • Você deve ser capaz de registrar um aplicativo Microsoft Entra.
  • Seu aplicativo Microsoft Entra deve receber a função de Colaborador do Microsoft Sentinel no nível do espaço de trabalho.

Instruções

Siga estas etapas para importar objetos STIX de inteligência de ameaças para o Microsoft Sentinel a partir de sua TIP integrada ou solução personalizada de inteligência contra ameaças:

  1. Registre um aplicativo Microsoft Entra e, em seguida, registre sua ID de aplicativo.
  2. Gere e grave um segredo de cliente para seu aplicativo Microsoft Entra.
  3. Atribua ao seu aplicativo Microsoft Entra a função de Colaborador do Microsoft Sentinel ou equivalente.
  4. Configure sua solução TIP ou aplicativo personalizado.

Registar uma aplicação Microsoft Entra

As permissões de função de usuário padrão permitem que os usuários criem registros de aplicativos. Se essa configuração foi alterada para Não, você precisará de permissão para gerenciar aplicativos no Microsoft Entra. Qualquer uma das seguintes funções do Microsoft Entra inclui as permissões necessárias:

  • Administrador de aplicações
  • Programador de aplicações
  • Administrador de aplicações de cloud

Para obter mais informações sobre como registrar seu aplicativo Microsoft Entra, consulte Registrar um aplicativo.

Depois de registrar seu aplicativo, registre seu ID de aplicativo (cliente) na guia Visão geral do aplicativo.

Atribuir uma função ao aplicativo

A API de carregamento ingere objetos de inteligência de ameaças no nível do espaço de trabalho e requer a função de Colaborador do Microsoft Sentinel.

  1. No portal do Azure, vá para espaços de trabalho do Log Analytics.

  2. Selecione Controlo de acesso (IAM) .

  3. Selecione Adicionar>Adicionar atribuição de função.

  4. Na guia Função, selecione a função de Colaborador do Microsoft Sentinel e selecione Avançar.

  5. Na guia Membros, selecione Atribuir acesso a Usuário, grupo ou entidade de>serviço.

  6. Selecione membros. Por padrão, os aplicativos Microsoft Entra não são exibidos nas opções disponíveis. Para encontrar a sua aplicação, pesquise-a pelo nome.

    Captura de tela que mostra a função de Colaborador do Microsoft Sentinel atribuída ao aplicativo no nível do espaço de trabalho.

  7. Selecione Rever + atribuir.

Para obter mais informações sobre como atribuir funções a aplicativos, consulte Atribuir uma função ao aplicativo.

Configure sua solução de plataforma de inteligência de ameaças ou aplicativo personalizado

As seguintes informações de configuração são exigidas pela API de carregamento:

  • ID da aplicação (cliente)
  • Token de acesso Microsoft Entra com autenticação OAuth 2.0
  • ID do espaço de trabalho do Microsoft Sentinel

Insira esses valores na configuração de sua TIP integrada ou solução personalizada, quando necessário.

  1. Envie a inteligência de ameaças para a API de upload. Para obter mais informações, consulte API de carregamento do Microsoft Sentinel.
  2. Dentro de alguns minutos, os objetos de inteligência de ameaças devem começar a fluir para o espaço de trabalho do Microsoft Sentinel. Encontre os novos objetos STIX na página Inteligência de ameaças, que pode ser acessada no menu Microsoft Sentinel.

Conteúdos relacionados

Neste artigo, você aprendeu como conectar sua TIP ao Microsoft Sentinel. Para saber mais sobre como usar informações sobre ameaças no Microsoft Sentinel, consulte os seguintes artigos: