Ansluta din plattform för hotinformation till Microsoft Sentinel med STIX-objekt-API:et

• Gäller för:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Många organisationer använder TIP-lösningar (Threat Intelligence Platform) för att aggregera hotinformationsflöden från olika källor. Från det aggregerade flödet kureras data för att gälla för säkerhetslösningar som nätverksenheter, EDR/XDR-lösningar eller SIEM-lösningar (säkerhetsinformation och händelsehantering), till exempel Microsoft Sentinel. Branschstandarden för att beskriva cyberhotinformation kallas "Structured Threat Information Expression" eller STIX. Genom att använda API:et för STIX-objekt använder du ett uttrycksfullt sätt att importera hotinformation till Microsoft Sentinel.

STIX-objekt-API:et matar in hotinformation i Microsoft Sentinel utan behov av en dataanslutning. I den här artikeln beskrivs vad du behöver för att ansluta. Mer information om API-information finns i referensdokumentet Microsoft Sentinel STIX-objekt-API.

Mer information om hotinformation finns i Hotinformation.

Viktigt!

API:et för Microsoft Sentinel-hotinformations-STIX-objekt finns i förhandsversionen. Mer juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt inte har släppts i allmän tillgänglighet finns i tilläggsvillkoren för Förhandsversioner av Microsoft Azure.

Microsoft Sentinel är allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Kommentar

Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.

Förutsättningar

• Du måste ha läs- och skrivbehörighet till Microsoft Sentinel-arbetsytan för att lagra dina STIX-objekt för hotinformation.
• Du måste kunna registrera ett Microsoft Entra-program.
• Ditt Microsoft Entra-program måste beviljas rollen Microsoft Sentinel-deltagare på arbetsytans nivå.

Instruktioner

Följ de här stegen för att importera STIX-objekt för hotinformation till Microsoft Sentinel från din integrerade LÖSNING för TIPS eller anpassad hotinformation:

1. Registrera ett Microsoft Entra-program och registrera sedan dess program-ID.
2. Generera och registrera en klienthemlighet för ditt Microsoft Entra-program.
3. Tilldela Microsoft Entra-programmet rollen Microsoft Sentinel-deltagare eller motsvarande.
4. Konfigurera din TIP-lösning eller anpassade program.

Registrera ett Microsoft Entra-program

Med standardbehörigheter för användarroller kan användare skapa programregistreringar. Om den här inställningen har växlats till Nej behöver du behörighet att hantera program i Microsoft Entra. Någon av följande Microsoft Entra-roller innehåller de behörigheter som krävs:

• Programadministratör
• Programutvecklare
• Molnprogramadministratör

Mer information om hur du registrerar ditt Microsoft Entra-program finns i Registrera ett program.

När du har registrerat ditt program registrerar du dess program-ID (klient)-ID från programmets översiktsflik.

Tilldela en roll till programmet

STIX-objekt-API:et matar in hotinformationsobjekt på arbetsytenivå och kräver rollen som Microsoft Sentinel-deltagare.

1. Från Azure Portal går du till Log Analytics-arbetsytor.

2. Välj Åtkomstkontroll (IAM) .

3. Välj Lägg till>Lägg till rolltilldelning.

4. På fliken Roll väljer du rollen Microsoft Sentinel-deltagare och väljer sedan Nästa.

5. På fliken Medlemmar väljer du Tilldela åtkomst till>Användaren, gruppen eller tjänstens huvudnamn.

6. Välj medlemmar. Som standard visas inte Microsoft Entra-program i de tillgängliga alternativen. Om du vill hitta ditt program söker du efter det efter namn.

   

7. Välj Granska + tilldela.

Mer information om hur du tilldelar roller till program finns i Tilldela en roll till programmet.

Konfigurera din plattformslösning för hotinformation eller anpassat program

Följande konfigurationsinformation krävs av STIX-objekt-API:et:

• App-ID (klient-ID)
• Microsoft Entra-åtkomsttoken med OAuth 2.0-autentisering
• Microsoft Sentinel-arbetsyte-ID

Ange dessa värden i konfigurationen av den integrerade TIP-lösningen eller den anpassade lösningen där det behövs.

1. Skicka hotinformationen till STIX-objekt-API:et. Mer information finns i Microsoft Sentinel STIX-objekt-API.
2. Inom några minuter bör hotinformationsobjekt börja flöda till din Microsoft Sentinel-arbetsyta. Hitta de nya STIX-objekten på sidan Hotinformation , som är tillgänglig från Microsoft Sentinel-menyn.

Relaterat innehåll

I den här artikeln har du lärt dig hur du ansluter tipset till Microsoft Sentinel. Mer information om hur du använder hotinformation i Microsoft Sentinel finns i följande artiklar:

• Förstå hotinformation.
• Arbeta med hotindikatorer i hela Microsoft Sentinel-upplevelsen.
• Kom igång identifiera hot med inbyggda eller anpassade analysregler i Microsoft Sentinel.