Conector Threat Intelligence Upload API (Preview) para o Microsoft Sentinel
O Microsoft Sentinel oferece uma API de plano de dados para trazer informações sobre ameaças da sua Threat Intelligence Platform (TIP), como Threat Connect, Palo Alto Networks MineMeld, MISP ou outros aplicativos integrados. Os indicadores de ameaça podem incluir endereços IP, domínios, URLs, hashes de ficheiros e endereços de e-mail. Para obter mais informações, consulte a documentação do Microsoft Sentinel.
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
Atributo do conector | Description |
---|---|
Tabela(s) do Log Analytics | ThreatIntelligenceIndicator |
Suporte a regras de coleta de dados | Não é suportado atualmente |
Apoiado por | Corporação Microsoft |
Exemplos de consulta
Todos os indicadores de APIs de inteligência de ameaças
ThreatIntelligenceIndicator
| where SourceSystem !in ('SecurityGraph', 'Azure Sentinel', 'Microsoft Sentinel')
| sort by TimeGenerated desc
Instruções de instalação do fornecedor
Você pode conectar suas fontes de dados de inteligência de ameaças ao Microsoft Sentinel da seguinte forma:
Usando uma plataforma integrada de inteligência de ameaças (TIP), como Threat Connect, Palo Alto Networks MineMeld, MISP, entre outros.
Chamando a API do plano de dados do Microsoft Sentinel diretamente de outro aplicativo.
- Nota: O 'Status' do conector não aparecerá como 'Conectado' aqui, porque os dados são ingeridos ao fazer uma chamada de API.
Siga estas etapas para se conectar ao seu Threat Intelligence:
- Obter o Token de Acesso do Microsoft Entra ID
[concat('Para enviar solicitação para as APIs, você precisa adquirir o token de acesso do Azure Ative Directory. Você pode seguir as instruções nesta página: /azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token
- Aviso: Por favor, solicite o token de acesso do AAD com o valor do escopo: ', variables('management'), '.default')]
- Enviar objetos STIX para o Sentinel
Você pode enviar os tipos de objeto STIX suportados chamando nossa API de upload. Para mais informações sobre a API, clique aqui.
Método HTTP: POST
Ponto de extremidade: https://api.ti.sentinel.azure.com/workspaces/[WorkspaceID]/threatintelligence-stix-objects:upload?api-version=2024-02-01
WorkspaceID: o espaço de trabalho para o qual os objetos STIX são carregados.
Valor do cabeçalho 1: "Autorização" = "Portador [Microsoft Entra ID Access Token da etapa 1]"
Valor do cabeçalho 2: "Content-Type" = "application/json"
Corpo: O corpo é um objeto JSON que contém uma matriz de objetos STIX.
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.