Api för uppladdning av hotinformation (förhandsversion) för Microsoft Sentinel
Microsoft Sentinel erbjuder ett API för dataplan för att ta in hotinformation från din Threat Intelligence Platform (TIP), till exempel Threat Connect, Palo Alto Networks MineMeld, MISP eller andra integrerade program. Hotindikatorer kan omfatta IP-adresser, domäner, URL:er, filhashvärden och e-postadresser. Mer information finns i Microsoft Sentinel-dokumentationen.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslutningsattribut
| Anslutningsattribut | beskrivning |
|---|---|
| Log Analytics-tabeller | ThreatIntelligenceIndicator |
| Stöd för regler för datainsamling | Stöds för närvarande inte |
| Stöds av | Microsoft Corporation |
Exempel på frågor
Alla API:er för hotinformation
ThreatIntelligenceIndicator
| where SourceSystem !in ('SecurityGraph', 'Azure Sentinel', 'Microsoft Sentinel')
| sort by TimeGenerated desc
Installationsanvisningar för leverantör
Du kan ansluta dina datakällor för hotinformation till Microsoft Sentinel genom att antingen:
Använda en integrerad Threat Intelligence Platform (TIP), till exempel Threat Connect, Palo Alto Networks MineMeld, MISP och andra.
Anropa Api:et för Microsoft Sentinel-dataplanet direkt från ett annat program.
- Obs! Status för anslutningsappen visas inte som Ansluten här eftersom data matas in genom att göra ett API-anrop.
Följ dessa steg för att ansluta till din hotinformation:
- Hämta Åtkomsttoken för Microsoft Entra-ID
[concat('För att skicka begäran till API:erna måste du hämta Azure Active Directory-åtkomsttoken. Du kan följa anvisningarna på den här sidan: /azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token
- Obs! Begär AAD-åtkomsttoken med omfångsvärdet: ', variables('management'), '.default')]
- Skicka STIX-objekt till Sentinel
Du kan skicka stix-objekttyper som stöds genom att anropa vårt uppladdnings-API. Klicka här om du vill ha mer information om API:et.
HTTP-metod: POST
Slutpunkt:
https://api.ti.sentinel.azure.com/workspaces/[WorkspaceID]/threatintelligence-stix-objects:upload?api-version=2024-02-01
WorkspaceID: den arbetsyta som STIX-objekten laddas upp till.
Rubrikvärde 1: "Authorization" = "Bearer [Microsoft Entra ID Access Token from step 1]"
Rubrikvärde 2: "Content-Type" = "application/json"
Brödtext: Brödtexten är ett JSON-objekt som innehåller en matris med STIX-objekt.
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.