通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 STIX 对象 API 将威胁情报平台连接到 Microsoft Sentinel

  • 项目
  • 适用于:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

许多组织使用威胁情报平台 (TIP) 解决方案聚合各种来源的威胁情报源。 在聚合源中,数据经过精心整理,以应用于安全解决方案,例如网络设备、EDR/XDR 解决方案或安全信息和事件管理 (SIEM) 解决方案(如 Microsoft Sentinel)。 描述网络威胁信息的行业标准称为“结构化威胁信息表达式”,简称 STIX。 使用 STIX 对象 API,你可以通过一种富有表现力的方式将威胁情报导入 Microsoft Sentinel。

STIX 对象 API 可将威胁情报引入 Microsoft Sentinel,而无需使用数据连接器。 本文介绍进行连接需要些什么。 有关 API 细节的更多信息,请参阅参考文档:Microsoft Sentinel STIX 对象 API

显示威胁情报导入路径的屏幕截图。

有关威胁情报的详细信息,请参阅威胁情报

重要

Microsoft Sentinel 威胁情报 STIX 对象 API 为预览版。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Microsoft Azure 预览版的补充使用条款

Microsoft Sentinel 已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 对于预览版,Microsoft Sentinel 在 Defender 门户中提供,无需 Microsoft Defender XDR 或 E5 许可证。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

注意

有关美国政府云中的功能可用性的信息,请参阅美国政府客户的云功能可用性中的 Microsoft Sentinel 表。

先决条件

  • 你必须拥有 Microsoft Sentinel 工作区的读取和写入权限才能存储威胁情报 STIX 对象。
  • 必须能够注册 Microsoft Entra 应用程序。
  • 必须在工作区级别向 Microsoft Entra 应用程序授予Microsoft Sentinel 参与者角色。

说明

按照以下步骤,从集成式 TIP 或自定义威胁情报解决方案向 Microsoft Sentinel 导入威胁情报 STIX 对象:

  1. 注册 Microsoft Entra 应用程序,然后记录其应用程序 ID。
  2. 为 Microsoft Entra 应用程序生成并记录客户端密码。
  3. 为 Microsoft Entra 应用程序分配 Microsoft Sentinel 参与者角色或等效角色。
  4. 配置 TIP 解决方案或自定义应用程序。

注册 Microsoft Entra 应用

用户可以通过默认用户角色权限创建应用程序注册。 如果此设置已切换到“否”,则你需要有权管理 Microsoft Entra 中的应用程序。 以下任何 Microsoft Entra 角色都包括所需的权限:

  • 应用程序管理员
  • 应用程序开发人员
  • 云应用程序管理员

有关注册 Microsoft Entra 应用程序的详细信息,请参阅注册应用程序

注册应用程序后,请在应用程序的“概述”选项卡中找到其应用程序(客户端)ID 并进行记录。

将角色分配给应用程序

STIX 对象 API 在工作区级别引入威胁情报对象,需要 Microsoft Sentinel 参与者角色。

  1. 在 Azure 门户中,转到“Log Analytics 工作区”

  2. 选择“访问控制(IAM)”。

  3. 选择“添加”>“添加角色分配”。

  4. 在“角色”选项卡上,选择“Microsoft Sentinel 参与者”角色,然后选择“下一步”

  5. 在“成员”选项卡上,选择“将访问权限分配到”>“用户、组或服务主体”。

  6. 选择成员。 默认情况下,可用选项中不显示 Microsoft Entra 应用程序。 若要查找应用程序,请按名称搜索它。

    显示在工作区级别向应用程序分配 Microsoft Sentinel 参与者角色的屏幕截图。

  7. 选择“查看 + 分配”。

有关向应用程序分配角色的详细信息,请参阅将角色分配给应用程序

配置威胁情报平台解决方案或自定义应用程序

STIX 对象 API 需要以下配置信息:

  • 应用程序(客户端)ID
  • OAuth 2.0 身份验证配合使用的 Microsoft Entra 访问令牌
  • Microsoft Sentinel 工作区 ID

根据需要在集成式 TIP 或自定义解决方案的配置中输入这些值。

  1. 将威胁情报提交到 STIX 对象 API。 有关详细信息,请参阅 Microsoft Sentinel STIX 对象 API
  2. 几分钟后,威胁情报对象应开始流入 Microsoft Sentinel 工作区。 在“威胁情报”页上找到新 STIX 对象(可从 Microsoft Sentinel 菜单访问该页)。

相关内容

本文介绍了如何将 TIP 连接到 Microsoft Sentinel。 若要详细了解如何在 Microsoft Sentinel 中使用威胁情报,请参阅以下文章: