你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用上传指标 API 将威胁情报平台连接到 Microsoft Sentinel

许多组织使用威胁情报平台 (TIP) 解决方案汇总各种来源的威胁指标源。 在聚合源中,数据经过精心整理,以应用于安全解决方案,例如网络设备、EDR/XDR 解决方案或安全信息和事件管理 (SIEM) 解决方案(如 Microsoft Sentinel)。 通过使用威胁情报上传指标 API,可以使用这些解决方案将威胁指标导入到 sentinel Microsoft。

上传指标 API 可将威胁情报指标引入 Microsoft Sentinel,而无需使用数据连接器。 数据连接器仅反映连接到本文以及 API 参考文档 Microsoft Sentinel 上传指标 API 中所述 API 终结点的说明。

显示威胁情报导入路径的屏幕截图。

有关威胁情报的详细信息,请参阅威胁情报

重要

Microsoft Sentinel 威胁情报上传指标 API 目前是预览版。 有关 beta 版本、预览版或其他尚未正式发布的版本的 Azure 功能所适用的更多法律条款,请参阅 Microsoft Azure 预览版的补充使用条款

Microsoft Sentinel 已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 对于预览版,Microsoft Sentinel 已在 Defender 门户中可用,并且无需 Microsoft Defender XDR 或 E5 许可证。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

有关详细信息,请参阅将 Microsoft Sentinel 连接到 STIX/TAXII 威胁情报源

注意

有关美国政府云中的功能可用性的信息,请参阅美国政府客户的云功能可用性中的 Microsoft Sentinel 表。

先决条件

  • 若要在“内容中心”安装、更新和删除独立内容或解决方案,你需要在资源组级别拥有 Microsoft Sentinel 参与者角色。 无需安装数据连接器即可使用 API 终结点。
  • 必须拥有 Microsoft Sentinel 工作区的读取和写入权限,才能存储威胁指标。
  • 必须能够注册 Microsoft Entra 应用程序。
  • 必须在工作区级别向 Microsoft Entra 应用程序授予Microsoft Sentinel 参与者角色。

说明

按照以下步骤,从集成式 TIP 或自定义威胁情报解决方案向 Microsoft Sentinel 导入威胁指标:

  1. 注册 Microsoft Entra 应用程序,然后记录其应用程序 ID。
  2. 为 Microsoft Entra 应用程序生成并记录客户端密码。
  3. 为 Microsoft Entra 应用程序分配 Microsoft Sentinel 参与者角色或等效角色。
  4. 配置 TIP 解决方案或自定义应用程序。

注册 Microsoft Entra 应用

用户可以通过默认用户角色权限创建应用程序注册。 如果此设置已切换到“否”,则你需要有权管理 Microsoft Entra 中的应用程序。 以下任何 Microsoft Entra 角色都包括所需的权限:

  • 应用程序管理员
  • 应用程序开发人员
  • 云应用程序管理员

有关注册 Microsoft Entra 应用程序的详细信息,请参阅注册应用程序

注册应用程序后,请在应用程序的“概述”选项卡中找到其应用程序(客户端)ID 并进行记录。

生成和记录客户端密码

注册应用程序后,请生成并记录客户端密码。

显示如何生成客户端密码的屏幕截图。

有关生成客户端密码的详细信息,请参阅添加客户端密码

将角色分配给应用程序

上传指标 API 在工作区级别引入威胁指标,并允许 Microsoft Sentinel 参与者的最小特权角色。

  1. 在 Azure 门户中,转到“Log Analytics 工作区”

  2. 选择“访问控制(IAM)”。

  3. 选择“添加”>“添加角色分配”。

  4. 在“角色”选项卡上,选择“Microsoft Sentinel 参与者”角色,然后选择“下一步”

  5. 在“成员”选项卡上,选择“将访问权限分配到”>“用户、组或服务主体”。

  6. 选择成员。 默认情况下,可用选项中不显示 Microsoft Entra 应用程序。 若要查找应用程序,请按名称搜索它。

    显示在工作区级别向应用程序分配 Microsoft Sentinel 参与者角色的屏幕截图。

  7. 选择“查看 + 分配”。

有关向应用程序分配角色的详细信息,请参阅将角色分配给应用程序

在 Microsoft Sentinel 中安装威胁情报上传指标 API 数据连接器(可选)

安装威胁智能上传指示器 API 数据连接器,以查看来自 Microsoft Sentinel 工作区的 API 连接说明。

  1. 对于 Azure 门户中的 Microsoft Sentinel,在“内容管理”下,选择“内容中心”
    对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”>“内容管理”>“内容中心”。

  2. 查找并选择“威胁情报”解决方案。

  3. 选择“安装/更新”按钮。

    有关如何管理解决方案组件的详细信息,请参阅发现和部署现成内容

  4. 数据连接器现在显示在“配置”>“数据连接器”中。 打开“数据连接器”页面,详细了解如何使用此 API 配置应用程序

    显示“数据连接器”页面的屏幕截图,其中列出了“上传指标 API”数据连接器。

配置威胁情报平台解决方案或自定义应用程序

上传指标 API 需要以下配置信息:

  • 应用程序(客户端)ID
  • 客户端机密
  • Microsoft Sentinel 工作区 ID

根据需要在集成式 TIP 或自定义解决方案的配置中输入这些值。

  1. 将指标提交到 Microsoft Sentinel 上传指标 API。 若要了解有关上传指标 API 的详细信息,请参阅 Microsoft Sentinel 上传指标 API

  2. 几分钟后,威胁指标应开始流入 Microsoft Sentinel 工作区。 在“威胁情报”窗格中找到新指标(可从 Microsoft Sentinel 菜单访问该窗格)。

  3. 数据连接器状态反映状态为“已连接”。 成功提交指标后,系统将更新“收到的数据”图形。

    显示处于“已连接”状态的“上传指标 API”数据连接器的屏幕截图。

本文介绍了如何将 TIP 连接到 Microsoft Sentinel。 若要详细了解如何在 Microsoft Sentinel 中使用威胁指标,请参阅以下文章: