Conecte sua plataforma de inteligência de ameaças ao Microsoft Sentinel com a API de indicadores de carregamento
Muitas organizações usam soluções de plataforma de inteligência de ameaças (TIP) para agregar feeds de indicadores de ameaças de várias fontes. A partir do feed agregado, os dados são selecionados para serem aplicados a soluções de segurança, como dispositivos de rede, soluções EDR/XDR ou soluções de gerenciamento de eventos e informações de segurança (SIEM), como o Microsoft Sentinel. Usando a API de Indicadores de Carregamento do Threat Intelligence, você pode usar essas soluções para importar indicadores de ameaça para o Microsoft Sentinel.
A API de Indicadores de Carregamento ingere indicadores de inteligência de ameaças no Microsoft Sentinel sem a necessidade do conector de dados. O conector de dados espelha apenas as instruções para se conectar ao ponto de extremidade da API descrito neste artigo e no documento de referência da API Microsoft Sentinel Upload Indicators API.
Para obter mais informações sobre informações sobre ameaças, consulte Informações sobre ameaças.
Importante
A API de Indicadores de Carregamento do Microsoft Sentinel Threat Intelligence está em pré-visualização. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter mais termos legais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Para obter mais informações, consulte Conectar o Microsoft Sentinel a feeds de inteligência de ameaças STIX/TAXII.
Nota
Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Pré-requisitos
- Para instalar, atualizar e excluir conteúdo ou soluções autônomas no hub de conteúdo, você precisa da função de Colaborador do Microsoft Sentinel no nível do grupo de recursos. Não é necessário instalar o conector de dados para usar o ponto de extremidade da API.
- Você deve ter permissões de leitura e gravação no espaço de trabalho do Microsoft Sentinel para armazenar seus indicadores de ameaça.
- Você deve ser capaz de registrar um aplicativo Microsoft Entra.
- Seu aplicativo Microsoft Entra deve receber a função de Colaborador do Microsoft Sentinel no nível do espaço de trabalho.
Instruções
Siga estas etapas para importar indicadores de ameaças para o Microsoft Sentinel a partir de sua TIP integrada ou solução personalizada de inteligência de ameaças:
- Registre um aplicativo Microsoft Entra e, em seguida, registre sua ID de aplicativo.
- Gere e grave um segredo de cliente para seu aplicativo Microsoft Entra.
- Atribua ao seu aplicativo Microsoft Entra a função de Colaborador do Microsoft Sentinel ou equivalente.
- Configure sua solução TIP ou aplicativo personalizado.
Registar uma aplicação Microsoft Entra
As permissões de função de usuário padrão permitem que os usuários criem registros de aplicativos. Se essa configuração foi alterada para Não, você precisará de permissão para gerenciar aplicativos no Microsoft Entra. Qualquer uma das seguintes funções do Microsoft Entra inclui as permissões necessárias:
- Administrador de aplicações
- Programador de aplicações
- Administrador de aplicações de cloud
Para obter mais informações sobre como registrar seu aplicativo Microsoft Entra, consulte Registrar um aplicativo.
Depois de registrar seu aplicativo, registre seu ID de aplicativo (cliente) na guia Visão geral do aplicativo.
Gerar e gravar um segredo do cliente
Agora que seu aplicativo está registrado, gere e registre um segredo do cliente.
Para obter mais informações sobre como gerar um segredo do cliente, consulte Adicionar um segredo do cliente.
Atribuir uma função ao aplicativo
A API de Indicadores de Carregamento ingere indicadores de ameaça no nível do espaço de trabalho e permite uma função de privilégios mínimos de Colaborador do Microsoft Sentinel.
No portal do Azure, vá para espaços de trabalho do Log Analytics.
Selecione Controlo de acesso (IAM) .
Selecione Adicionar>Adicionar atribuição de função.
Na guia Função, selecione a função de Colaborador do Microsoft Sentinel e selecione Avançar.
Na guia Membros, selecione Atribuir acesso a Usuário, grupo ou entidade de>serviço.
Selecione membros. Por padrão, os aplicativos Microsoft Entra não são exibidos nas opções disponíveis. Para encontrar a sua aplicação, pesquise-a pelo nome.
Selecione Rever + atribuir.
Para obter mais informações sobre como atribuir funções a aplicativos, consulte Atribuir uma função ao aplicativo.
Instalar o conector de dados da API de Indicadores de Carregamento de Inteligência de Ameaças no Microsoft Sentinel (opcional)
Instale o conector de dados da API Threat Intelligence Upload Indicators para ver as instruções de conexão da API no seu espaço de trabalho do Microsoft Sentinel.
Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de conteúdo, selecione Hub de conteúdo.
Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Content management>Content hub.Encontre e selecione a solução Threat Intelligence .
Selecione o botão Instalar/Atualizar .
Para obter mais informações sobre como gerenciar os componentes da solução, consulte Descobrir e implantar conteúdo pronto para uso.
O conector de dados agora está visível em conectores de dados de configuração>. Abra a página Conectores de dados para encontrar mais informações sobre como configurar seu aplicativo com essa API.
Configure sua solução de plataforma de inteligência de ameaças ou aplicativo personalizado
As seguintes informações de configuração são exigidas pela API de Indicadores de Carregamento:
- ID da aplicação (cliente)
- Segredo do cliente
- ID do espaço de trabalho do Microsoft Sentinel
Insira esses valores na configuração de sua TIP integrada ou solução personalizada, quando necessário.
Envie os indicadores para a API de indicadores de carregamento do Microsoft Sentinel. Para saber mais sobre a API de Indicadores de Carregamento, consulte API de Indicadores de Carregamento do Microsoft Sentinel.
Dentro de alguns minutos, os indicadores de ameaça devem começar a fluir para o seu espaço de trabalho do Microsoft Sentinel. Encontre os novos indicadores no painel Inteligência de ameaças, que pode ser acessado no menu Microsoft Sentinel.
O status do conector de dados reflete o status Conectado . O gráfico de dados recebidos é atualizado após o envio bem-sucedido dos indicadores.
Conteúdos relacionados
Neste artigo, você aprendeu como conectar sua TIP ao Microsoft Sentinel. Para saber mais sobre como usar indicadores de ameaça no Microsoft Sentinel, consulte os seguintes artigos:
- Compreenda a inteligência de ameaças.
- Trabalhe com indicadores de ameaça em toda a experiência do Microsoft Sentinel.
- Comece a detetar ameaças com regras de análise internas ou personalizadas no Microsoft Sentinel.