將威脅情報平台連線到 Microsoft Sentinel
注意
此資料連接器位於取代的路徑上。 後續將有更多資料依據精確的時間表發佈。 對於未來新的解決方案,請使用新的威脅情報上傳指標 API 資料連接器。 如需詳細資訊,請參閱使用上傳指標 API 將威脅情報平台連線至 Microsoft Sentinel。
許多組織都使用威脅情報平台 (TIP) 解決方案來匯總來自各種來源的威脅指標摘要。 資料將從彙總摘要中策展以套用至安全性解決方案,例如網路裝置、EDR/XDR 解決方案,或安全性資訊與事件管理 (SIEM),例如 Microsoft Sentinel。 使用 TIP 資料連接器,可讓您利用這些解決方案將威脅指標匯入至 Microsoft Sentinel。
由於 TIP 資料連接器可與 Microsoft Graph 安全性 tiIndicators API 共同完成此程序,因此您可以使用連接器,將指標從可與該 API 通訊的任何其他自訂 TIP 傳送至 Microsoft Sentinel (以及其他 Microsoft 安全性解決方案,例如 Defender 全面偵測回應)。
注意
如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。
深入了解 Microsoft Sentinel 中的威脅情報,特別是可與 Microsoft Sentinel 整合的 TIP 產品。
重要
Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
必要條件
- 若要在內容中樞安裝、更新及刪除獨立內容或解決方案,您需要資源群組層級的 Microsoft Sentinel 參與者角色。
- 若要將權限授與 TIP 產品或任何其他使用直接與 Microsoft Graph TI 指標 API 整合的自訂應用程式,您必須具有安全性系統管理員 Microsoft Entra 角色或同等權限。
- 若要儲存威脅指標,您必須具有 Microsoft Sentinel 工作區的讀取和寫入權限。
指示
若要從整合式 TIP 或自訂威脅情報解決方案將威脅指標匯入至 Microsoft Sentinel,請遵循下列步驟:
- 從 Microsoft Entra ID 取得應用程式識別碼和用戶端密碼。
- 將此資訊輸入您的 TIP 解決方案或自訂應用程式。
- 在 Microsoft Sentinel 中啟用 TIP 資料連接器。
從您的 Microsoft Entra ID 註冊應用程式識別碼和客戶端密碼
無論您是使用 TIP 還是自訂解決方案,tiIndicators API 都需要一些基本資訊,才能讓您將摘要連線至其中並對其傳送威脅指標。 您需要的三項資訊包括:
- 應用程式 (用戶端) 識別碼
- 目錄 (租用戶) 識別碼
- 用戶端密碼
您可以透過應用程式註冊從 Microsoft Entra ID 取得這項資訊,其中包含下列三個步驟:
- 使用 Microsoft Entra ID 註冊應用程式。
- 指定應用程式連線至 Microsoft Graph tiIndicators API 並傳送威脅指標所需的權限。
- 取得您組織的同意以將這些權限授與此應用程式。
使用 Microsoft Entra ID 註冊應用程式
在 Azure 入口網站中,移至 [Microsoft Entra ID]。
在功能表上選取 [應用程式註冊],然後選取 [新增註冊]。
選擇您應用程式註冊的名稱,選取 [單一租用戶],然後選取 [註冊]。
在開啟的畫面上,複製 [應用程式 (用戶端) 識別碼] 和 [目錄 (租用戶) 識別碼] 值。 後續您將需要這兩項資訊,用以設定 TIP 或自訂解決方案,將威脅指標傳送至 Microsoft Sentinel。 再來您將需要第三項資訊,即用戶端密碼。
指定應用程式所需的權限
返回 Microsoft Entra ID 的主頁面。
在功能表上選取 [應用程式註冊],然後選取您新註冊的應用程式。
在功能表上,選取 [API 權限]>[新增權限]。
在 [選取 API] 頁面上,選取 Microsoft Graph API。 然後,從 Microsoft Graph 權限清單中選擇。
在 [您的應用程式需要什麼類型的權限?] 提示出現時,選取 [應用程式權限]。 此權限是應用程式以應用程式識別碼和應用程式祕密 (API 金鑰) 進行驗證時所使用的類型。
選取 [ThreatIndicators.ReadWrite.OwnedBy],然後選取 [新增權限],將此權限新增至您應用程式的權限清單。
取得您組織的同意以授與這些權限
若要授與同意,必須要有特殊權限角色。 如需詳細資訊,請參閱對應用程式授與全租用戶的管理員同意。
在對您的應用程式授與同意之後,您應該會在 [狀態] 底下看到綠色核取記號。
註冊應用程式並授與權限後,您必須取得應用程式的用戶端密碼。
返回 Microsoft Entra ID 的主頁面。
在功能表上選取 [應用程式註冊],然後選取您新註冊的應用程式。
在功能表上,選取 [憑證與祕密]。 然後,選取 [新增用戶端密碼],以接收應用程式的秘密 (API 金鑰)。
選取 [新增],然後複製用戶端密碼。
重要
您必須先複製用戶端密碼,再離開此畫面。 離開此頁面後,就無法再次擷取此密碼。 在設定 TIP 或自訂解決方案時,將需要此值。
將此資訊輸入您的 TIP 解決方案或自訂應用程式
現在,設定 TIP 或自訂解決方案以將威脅指標傳送至 Microsoft Sentinel 所需的三項資訊皆已具足:
- 應用程式 (用戶端) 識別碼
- 目錄 (租用戶) 識別碼
- 用戶端密碼
視需要在整合式 TIP 或自訂解決方案的設定中輸入這些值。
將目標產品指定為 Azure Sentinel。 (指定 Microsoft Sentinel 會導致錯誤。)
針對動作,指定 [警示]。
此設定完成後,就會透過以 Microsoft Sentinel 為目標的 Microsoft Graph tiIndicators API,從您的 TIP 或自訂解決方案傳送威脅指標。
在 Microsoft Sentinel 中啟用 TIP 資料連接器
整合程序中的最後一個步驟,是在 Microsoft Sentinel 中啟用 TIP 資料連接器。 啟用此連接器可讓 Microsoft Sentinel 接收從 TIP 或自訂解決方案傳送的威脅指標。 組織的所有 Microsoft Sentinel 工作區都將能夠使用這些指標。 若要為每個工作區啟用 TIP 資料連接器,請遵循下列步驟:
對於 Azure 入口網站 中的 Microsoft Sentinel,在 [內容管理] 下方,選取 [內容中樞]。
針對 Defender 入口網站 中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[内容管理]>[內容中樞]。尋找並選取 [威脅情報] 解決方案。
選取 [安裝/更新] 按鈕。
如需如何管理解決方案元件的詳細資訊,請參閱探索及部署現成可用的內容 (部分機器翻譯)。
若要設定 TIP 資料連接器,請選擇 [組態]>[資料連接器]。
尋找並選取 [威脅情報平台] 資料連接器,然後選取 [開啟連接器頁面]。
由於您已完成應用程式註冊,並設定了 TIP 或自訂解決方案以傳送威脅指標,因此就只剩下選取 [連線] 這個步驟。
在幾分鐘內,威脅指標應該就會開始流入此 Microsoft Sentinel 工作區。 您可以在 [威脅情報] 窗格中找到新的指標;該窗格可從 [Microsoft Sentinel] 功能表存取。
相關內容
在本文中,您已了解如何將 TIP 連線至 Microsoft Sentinel。 若要深入了解 Microsoft Sentinel,請參閱下列文章:
- 學習如何洞察資料及潛在威脅。
- 開始 使用 Microsoft Sentinel 來偵測威脅。