通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

将威胁情报平台连接到 Microsoft Sentinel

  • 项目
  • 适用于:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

注意

此数据连接器位于弃用路径上。 将按确切时间线发布更多信息。 使用新的威胁情报上传指标 API 数据连接器来获取将来的新解决方案。 有关详细信息,请参阅使用上传指标 API 将威胁情报平台连接到 Microsoft Sentinel

许多组织使用威胁情报平台 (TIP) 解决方案汇总各种来源的威胁指标源。 在聚合源中,数据经过精心整理,以应用于安全解决方案,例如网络设备、EDR/XDR 解决方案或安全信息和事件管理 (SIEM) 解决方案(如 Microsoft Sentinel)。 通过 TIP 数据连接器,可以使用这些解决方案将威胁指标导入到 Microsoft Sentinel。

由于 TIP 数据连接器与 Microsoft Graph 安全性 tiIndicators API 协作完成此过程,因此你可以使用该连接器,将指标从任何其他可以与该 API 通信的自定义 TIP 发送到 Microsoft Sentinel(以及其他 Microsoft 安全解决方案,如 Defender XDR)。

显示威胁情报导入路径的屏幕截图。

注意

有关美国政府云中的功能可用性的信息,请参阅美国政府客户的云功能可用性中的 Microsoft Sentinel 表。

详细了解 Microsoft Sentinel 中的威胁情报,尤其是可与 Microsoft Sentinel 集成的 TIP 产品

重要

Microsoft Sentinel 已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 对于预览版,Microsoft Sentinel 在 Defender 门户中提供,无需 Microsoft Defender XDR 或 E5 许可证。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

先决条件

  • 若要在内容中心安装、更新和删除独立内容或解决方案,你需要在资源组级别拥有 Microsoft Sentinel 参与者角色。
  • 若要向 TIP 产品或任何其他使用直接与 Microsoft Graph TI 指标 API 集成的自定义应用程序授予权限,必须具有“安全管理员”这一 Microsoft Entra 角色或等效权限。
  • 若要存储威胁指标,必须拥有 Microsoft Sentinel 工作区的读取和写入权限。

说明

若要从集成式 TIP 或自定义威胁情报解决方案向 Microsoft Sentinel 导入威胁指标,请执行以下步骤:

  1. 从 Microsoft Entra ID 获取应用程序 ID 和客户端密码。
  2. 将此信息输入到 TIP 解决方案或自定义应用程序中。
  3. 在 Microsoft Sentinel 中启用 TIP 数据连接器。

从 Microsoft Entra ID 注册应用程序 ID 和客户端密码

无论你是使用 TIP 还是自定义解决方案,tiIndicators API 都需要一些基本信息,以便你能够将源连接到它并向它发送威胁指标。 你需要的三项信息为:

  • 应用程序(客户端)ID
  • 目录(租户)ID
  • 客户端机密

可以通过应用注册从 Microsoft Entra ID 获取这些信息,该过程包括以下三个步骤:

  • 使用 Microsoft Entra ID 注册应用。
  • 指定应用连接到 Microsoft Graph tiIndicators API 并发送威胁指标所需的权限。
  • 获得组织同意,向此应用程序授予这些权限。

使用 Microsoft Entra ID 注册应用程序

  1. 在 Azure 门户中,转到 Microsoft Entra ID

  2. 在菜单中,依次选择“应用注册”、“新建注册”。

  3. 为应用程序注册选择一个名称,选择“单租户”,然后选择“注册”。

    屏幕截图显示注册应用程序。

  4. 在打开的屏幕上,复制“应用程序(客户端) ID”和“目录(租户) ID”值。 你稍后配置 TIP 或自定义解决方案以向 Microsoft Sentinel 发送威胁指标时需要这两条信息。 稍后会提供所需的第三条信息(客户端密码)。

指定应用程序所需的权限

  1. 返回 Microsoft Entra ID 的主页。

  2. 在菜单上,选择“应用注册”,然后选择新注册的应用。

  3. 在菜单上,然后依次选择“API 权限”>“添加权限”。

  4. 在“选择 API”页上,选择 Microsoft Graph API。 然后从 Microsoft Graph 权限列表中进行选择。

  5. 在系统询问“应用程序需要哪种类型的权限?”时,选择“应用程序权限”。 这是通过应用 ID 和应用机密(API 密钥)进行身份验证的应用程序所使用的权限类型。

  6. 选择“ThreatIndicators.ReadWrite.OwnedBy”,然后选择“添加权限”,以将此权限添加到应用的权限列表中。

    显示指定权限的屏幕截图。

  1. 需要特权角色才能授予许可。 有关详细信息,请参阅向应用程序授予租户范围的管理员同意

    显示已授予同意的屏幕截图。

  2. 在向应用授予同意后,“状态”下应该会出现一个绿色复选标记。

注册应用并授予权限后,需要获取该应用的客户端密码。

  1. 返回 Microsoft Entra ID 的主页。

  2. 在菜单上,选择“应用注册”,然后选择新注册的应用。

  3. 在菜单上,选择“证书和机密”。 然后选择“新建客户端密码”,以接收应用的机密(API 密钥)。

    显示获取客户端密码的屏幕截图。

  4. 选择“添加”,然后复制客户端密码。

    重要

    在离开此屏幕之前,必须复制客户端密码。 如果离开此页,则无法再次检索此密码。 配置 TIP 或自定义解决方案时需要此值。

将此信息输入到 TIP 解决方案或自定义应用程序中

现在,你已获得配置 TIP 或自定义解决方案以向 Microsoft Sentinel 发送威胁指标所需的所有信息:

  • 应用程序(客户端) ID
  • 目录(租户)ID
  • 客户端机密

根据需要在集成式 TIP 或自定义解决方案的配置中输入这些值。

  1. 对于目标产品,请指定 Azure Sentinel。 (指定 Microsoft Sentinel 将导致错误。)

  2. 对于操作,请指定警报。

完成此配置后,将通过 Microsoft Graph tiIndicators API 将威胁指标从 TIP 或自定义解决方案发送到 Microsoft Sentinel。

在 Microsoft Sentinel 中启用 TIP 数据连接器

集成过程的最后一步是在 Microsoft Sentinel 中启用 TIP 数据连接器。 启用连接器可让 Microsoft Sentinel 接收从 TIP 或自定义解决方案发送的威胁指标。 这些指标可供组织的所有 Microsoft Sentinel 工作区使用。 若要为每个工作区启用 TIP 数据连接器,请执行以下步骤:

  1. 对于 Azure 门户中的 Microsoft Sentinel,在“内容管理”下,选择“内容中心”
    对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”>“内容管理”>“内容中心”。

  2. 查找并选择“威胁情报”解决方案。

  3. 选择“安装/更新”按钮。

    有关如何管理解决方案组件的详细信息,请参阅发现和部署现成内容

  4. 若要配置 TIP 数据连接器,请选择“配置”>“数据连接器”。

  5. 查找并选择“威胁情报平台”数据连接器,然后选择“打开连接器页”。

    显示“数据连接器”页的屏幕截图,其中列出了威胁情报平台数据连接器。

  6. 由于你已完成应用注册并将 TIP 或自定义解决方案配置为发送威胁指标,剩下的唯一步骤就是选择“连接”按钮。

几分钟后,威胁指标应开始流入此 Microsoft Sentinel 工作区。 可在“威胁情报”窗格中找到新指标,你可以从Microsoft Sentinel 菜单访问这些指标。

相关内容

本文介绍了如何将 TIP 连接到 Microsoft Sentinel。 若要详细了解 Microsoft Sentinel,请参阅以下文章: