共用方式為

使用上傳 API 將威脅情報平台連線到 Microsoft Sentinel (預覽)

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

許多組織都使用威脅情報平臺 (TIP) 解決方案來匯總來自各種來源的威脅情報摘要。 資料將從彙總摘要中策展以套用至安全性解決方案,例如網路裝置、EDR/XDR 解決方案,或安全性資訊與事件管理 (SIEM),例如 Microsoft Sentinel。 描述網路威脅資訊的業界標準稱為「結構化威脅資訊運算式」或 STIX。 藉由使用支援 STIX 物件的上傳 API,您可以使用更具表現力的方式將威脅情報匯入至 sentinel Microsoft。

上傳 API 會將威脅情報擷取至 Microsoft Sentinel,而不需要數據連接器。 本文說明您需要連線的內容。 如需 API 詳細數據的詳細資訊,請參閱Microsoft Sentinel 上傳 API 的參考檔

顯示威脅情報匯入路徑的螢幕擷取畫面。

如需威脅情報的詳細資訊,請參閱威脅情報

重要

Sentinel 威脅情報上傳 API Microsoft處於預覽狀態。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的更多法律條款。

Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

注意

如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。

必要條件

  • 您必須具有Microsoft Sentinel 工作區的讀取和寫入許可權,才能儲存威脅情報 STIX 物件。
  • 您必須先註冊 Microsoft Entra 應用程式:
  • 您的 Microsoft Entra 應用程式必須在工作區層級授與 Microsoft Sentinel 參與者角色。

指示

請遵循下列步驟,從整合式 TIP 或自定義威脅情報解決方案將威脅情報 STIX 物件匯入至 sentinel Microsoft:

  1. 註冊 Microsoft Entra 應用程式,然後記錄應用程式識別碼。
  2. 產生並記錄 Microsoft Entra 應用程式的用戶端密碼。
  3. 將 Microsoft Sentinel 參與者角色或對等角色指派給 Microsoft Entra 應用程式。
  4. 設定 TIP 解決方案或自訂應用程式。

註冊 Microsoft Entra 應用程式

預設使用者角色權限 允許使用者建立應用程式註冊。 如果此設定切換為 [否],您需要在 Microsoft Entra 中管理應用程式的權限。 任何下列 Microsoft Entra 角色都包括必要的權限:

  • 應用程式系統管理員
  • 應用程式開發人員
  • 雲端應用程式系統管理員

如需註冊 Microsoft Entra 應用程式的詳細資訊,請參閱 註冊應用程式

註冊應用程式後,請從 [概觀] 索引標籤記錄其應用程式 (用戶端) 識別碼。

指派角色給應用程式

上傳 API 會擷取工作區層級的威脅情報物件,而且需要Microsoft Sentinel 參與者的角色。

  1. 從 Azure 入口網站前往 [Log Analytics] 工作區。

  2. 選取 [存取控制 (IAM)]。

  3. 選取 [新增>][新增角色指派]。

  4. 在 [角色] 索引標籤中,選取 [Microsoft Sentinel 參與者角色],然後選取 [下一步]

  5. [成員] 索引標籤上,選取 [指派存取權給>使用者、群組或服務主體]

  6. 選取 [成員]。 根據預設,Microsoft Entra 應用程式不會顯示在可用的選項中。 若要尋找您的應用程式,請依名稱搜尋。

    顯示在工作區層級指派給應用程式 Microsoft Sentinel 參與者角色的螢幕擷取畫面。

  7. 選取檢閱+指派

如需指派角色給應用程式的詳細資訊,請參閱 指派角色給應用程式

設定威脅情報平台解決方案或自訂應用程式

上傳 API 需要下列組態資訊:

  • 應用程式 (用戶端) ID
  • 使用 OAuth 2.0 驗證Microsoft Entra 存取令牌
  • Microsoft Sentinel 工作區識別碼

視需要在整合式 TIP 或自訂解決方案的設定中輸入這些值。

  1. 將威脅情報提交至上傳 API。 如需詳細資訊,請參閱 Microsoft Sentinel 上傳 API
  2. 在幾分鐘內,威脅情報對象應該會開始流入您的Microsoft Sentinel 工作區。 在 [ 威脅情報 ] 頁面上尋找新的 STIX 物件,可從 Microsoft Sentinel 功能表存取。

相關內容

在本文中,您已了解如何將 TIP 連線至 Microsoft Sentinel。 若要深入瞭解如何在 Microsoft Sentinel 中使用威脅情報,請參閱下列文章: