Поделиться через

Подключение платформы аналитики угроз к Microsoft Sentinel с помощью API отправки индикаторов

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Многие организации используют решения платформы аналитики угроз (TIP) для агрегирования веб-каналов индикаторов угроз из различных источников. Из агрегированного веб-канала данные курируются для применения к решениям безопасности, таким как сетевые устройства, решения EDR/XDR или решения для управления сведениями о безопасности и событиями (SIEM), такими как Microsoft Sentinel. С помощью API отправки индикаторов угроз эти решения можно использовать для импорта индикаторов угроз в Microsoft Sentinel.

API отправки индикаторов отправляет индикаторы аналитики угроз в Microsoft Sentinel без необходимости соединителя данных. Соединитель данных отражает только инструкции по подключению к конечной точке API, описанной в этой статье, и api справочника по API Microsoft Sentinel Upload Indicators API.

Снимок экрана: путь импорта аналитики угроз.

Дополнительные сведения об аналитике угроз см. в статье "Аналитика угроз".

Внимание

API индикаторов отправки индикаторов угроз Microsoft Sentinel находится в предварительной версии. Дополнительные условия использования для предварительных версий Microsoft Azure см. в дополнительных юридических терминах, применимых к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Дополнительные сведения см. в статье Подключение Microsoft Sentinel к каналам аналитики угроз STIX/TAXII.

Примечание.

Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.

Необходимые компоненты

  • Чтобы установить, обновить и удалить автономное содержимое или решения в Центре контента, вам потребуется роль участника Microsoft Sentinel на уровне группы ресурсов. Не нужно устанавливать соединитель данных для использования конечной точки API.
  • Также вам нужны разрешения на чтение и запись в рабочей области Microsoft Sentinel для хранения индикаторов угроз.
  • Необходимо зарегистрировать приложение Microsoft Entra.
  • Приложение Microsoft Entra должно быть предоставлено роли участника Microsoft Sentinel на уровне рабочей области.

Instructions

Чтобы импортировать индикаторы угроз в Microsoft Sentinel из интегрированного TIP-решения или пользовательского решения для аналитики угроз, выполните следующие действия:

  1. Зарегистрируйте приложение Microsoft Entra и запишите его идентификатор приложения.
  2. Создайте и запишите секрет клиента для приложения Microsoft Entra.
  3. Назначьте приложение Microsoft Entra роль участника Microsoft Sentinel или эквивалентную.
  4. Настройте решение TIP или пользовательское приложение.

Регистрация приложения Microsoft Entra

Разрешения роли пользователя по умолчанию позволяют пользователям создавать регистрации приложений. Если этот параметр был переключлен на No, необходимо разрешение на управление приложениями в Microsoft Entra. Любые из следующих ролей Microsoft Entra включают необходимые разрешения:

  • Администратор приложений
  • Разработчик приложений
  • Администратор облачных приложений

Дополнительные сведения о регистрации приложения Microsoft Entra см. в разделе "Регистрация приложения".

После регистрации приложения запишите его идентификатор приложения (клиента) на вкладке обзора приложения.

Создание и запись секрета клиента

Теперь, когда приложение зарегистрировано, создайте и запишите секрет клиента.

Снимок экрана: создание секрета клиента.

Дополнительные сведения о создании секрета клиента см. в разделе "Добавление секрета клиента".

Назначение роли для приложения

API отправки индикаторов приема индикаторов угроз на уровне рабочей области и разрешает роль участника Microsoft Sentinel по крайней мере привилегий.

  1. В портал Azure перейдите в рабочие области Log Analytics.

  2. Выберите Управление доступом (IAM).

  3. Выберите Добавить>Добавить назначение ролей.

  4. На вкладке "Роль" выберите роль участника Microsoft Sentinel и нажмите кнопку "Далее".

  5. На вкладке "Участники" выберите "Назначить доступ к пользователю, группе или субъекту-службе>".

  6. Выберите участников. По умолчанию приложения Microsoft Entra не отображаются в доступных параметрах. Чтобы найти приложение, найдите его по имени.

    Снимок экрана: роль участника Microsoft Sentinel, назначенная приложению на уровне рабочей области.

  7. Выберите Проверить + назначить.

Дополнительные сведения о назначении ролей приложениям см. в статье "Назначение роли приложению".

Установка соединителя данных API индикаторов аналитики угроз в Microsoft Sentinel (необязательно)

Установите соединитель данных API индикаторов аналитики угроз, чтобы просмотреть инструкции по подключению API из рабочей области Microsoft Sentinel.

  1. Для Microsoft Sentinel в портал Azure в разделе "Управление содержимым" выберите центр контента.
    Для Microsoft Sentinel на портале Defender выберите Центр содержимого управления>содержимым Microsoft Sentinel>.

  2. Найдите и выберите решение аналитики угроз.

  3. Нажмите кнопку "Установить и обновить".

    Дополнительные сведения об управлении компонентами решения см. в статье "Обнаружение и развертывание содержимого вне поля".

  4. Соединитель данных теперь отображается в соединителях данных конфигурации>. Откройте страницу соединителей данных, чтобы получить дополнительные сведения о настройке приложения с помощью этого API.

    Снимок экрана, на котором показана страница соединителей данных data connectors with the Upload Indicators API data connectored.

Настройка решения платформы аналитики угроз или пользовательского приложения

Следующие сведения о конфигурации требуются API индикаторов отправки:

  • Идентификатор приложения (клиент)
  • Секрет клиента
  • Идентификатор рабочей области Microsoft Sentinel

Введите эти значения в раздел конфигурации интегрированной платформы аналитики угроз или пользовательского решения.

  1. Отправьте индикаторы в API отправки индикаторов Microsoft Sentinel. Дополнительные сведения об API отправки индикаторов см. в разделе API индикаторов отправки Microsoft Sentinel.

  2. Через несколько минут индикаторы угроз должны начаться в рабочую область Microsoft Sentinel. Найдите новые индикаторы в области аналитики угроз, которая доступна в меню Microsoft Sentinel.

  3. Состояние соединителя данных отражает состояние "Подключено ". Граф полученных данных обновляется после успешной отправки индикаторов.

    Снимок экрана: соединитель данных API индикаторов отправки в подключенном состоянии.

Связанный контент

Из этой статьи вы узнали, как подключить совет к Microsoft Sentinel. Дополнительные сведения об использовании индикаторов угроз в Microsoft Sentinel см. в следующих статьях: