Forbind din platform til trusselsintelligens for at Microsoft Sentinel med upload-API'en (prøveversion)

  • Gælder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Mange organisationer bruger TIP-løsninger (Threat Intelligence Platform) til at aggregere trusselsintelligensfeeds fra forskellige kilder. Fra det samlede feed er dataene udvalgt til at gælde for sikkerhedsløsninger, f.eks. netværksenheder, EDR/XDR-løsninger eller SIEM-løsninger (security information and event management), f.eks. Microsoft Sentinel. Branchestandarden for beskrivelse af cyberthreat-oplysninger kaldes "Structured Threat Information Expression" eller STIX. Ved at bruge upload-API'en, der understøtter STIX-objekter, kan du bruge en mere udtryksfuld måde til at importere trusselsintelligens i Microsoft Sentinel.

Upload-API'en indtager trusselsintelligens i Microsoft Sentinel uden behov for en dataconnector. I denne artikel beskrives det, hvad du skal bruge for at oprette forbindelse. Du kan finde flere oplysninger om API-oplysningerne i referencedokumentet Microsoft Sentinel API til upload.

Skærmbillede, der viser stien til import af threat intelligence.

Du kan få flere oplysninger om trusselsintelligens under Trusselsintelligens.

Vigtigt!

API'en til overførsel af Microsoft Sentinel threat intelligence fås som prøveversion. Se De supplerende vilkår for anvendelse til Microsoft Azure-prøveversioner for at få flere juridiske vilkår, der gælder for Azure funktioner, der er i beta, prøveversion eller på anden måde endnu ikke er offentligt tilgængelige.

Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen. Fra og med juli 2025 bliver mange nye kunder automatisk onboardet og omdirigeret til Defender-portalen.

Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender. Du kan få flere oplysninger under Det er tid til at flytte: Udgå Microsoft Sentinel er Azure Portal for større sikkerhed.

Bemærk!

Du kan få oplysninger om tilgængelighed af funktioner i US Government-cloudmiljøer i Microsoft Sentinel tabeller i Cloudfunktionstilgængelighed for US Government-kunder.

Forudsætninger

  • Du skal have læse- og skrivetilladelser til det Microsoft Sentinel arbejdsområde for at kunne gemme dine STIX-objekter til trusselsintelligens.
  • Du skal kunne registrere et Microsoft Entra program.
  • Dit Microsoft Entra program skal tildeles rollen Microsoft Sentinel bidragyder på arbejdsområdeniveau.

Instruktioner

Følg disse trin for at importere STIX-objekter til trusselsintelligens for at Microsoft Sentinel fra din integrerede TIP- eller brugerdefinerede trusselsintelligensløsning:

  1. Registrer et Microsoft Entra program, og registrer derefter program-id'et.
  2. Opret og registrer en klienthemmelighed for dit Microsoft Entra program.
  3. Tildel dit Microsoft Entra program rollen Microsoft Sentinel bidragyder eller den tilsvarende.
  4. Konfigurer din TIP-løsning eller dit brugerdefinerede program.

Registrer et Microsoft Entra program

Standardtilladelserne for brugerrollen giver brugerne mulighed for at oprette programregistreringer. Hvis denne indstilling blev ændret til Nej, skal du have tilladelse til at administrere programmer i Microsoft Entra. En af følgende Microsoft Entra roller omfatter de nødvendige tilladelser:

  • Programadministrator
  • Programudvikler
  • Cloudprogramadministrator

Du kan få flere oplysninger om registrering af dit Microsoft Entra program under Registrer et program.

Når du har registreret dit program, skal du registrere dets program-id (klient) under fanen Oversigt for programmet.

Tildel en rolle til programmet

Upload-API'en indtager trusselsintelligensobjekter på arbejdsområdeniveau og kræver rollen som Microsoft Sentinel bidragyder.

  1. I Azure Portal skal du gå til Log Analytics-arbejdsområder.

  2. Vælg Adgangskontrol (IAM).

  3. Vælg Tilføj>tilføj rolletildeling.

  4. Under fanen Rolle skal du vælge rollen Microsoft Sentinel bidragyder og derefter vælge Næste.

  5. Under fanen Medlemmer skal du vælge Tildel adgang til>bruger, gruppe eller tjenesteprincipal.

  6. Vælg medlemmer. Som standard vises Microsoft Entra programmer ikke i de tilgængelige indstillinger. Hvis du vil finde dit program, skal du søge efter det efter navn.

    Skærmbillede, der viser rollen Microsoft Sentinel bidragyder, der er tildelt programmet på arbejdsområdeniveau.

  7. Vælg Gennemse + tildel.

Du kan få flere oplysninger om tildeling af roller til programmer under Tildel en rolle til programmet.

Konfigurer din threat intelligence-platformløsning eller dit brugerdefinerede program

Følgende konfigurationsoplysninger kræves af upload-API'en:

  • Program-id (klient)
  • Microsoft Entra adgangstoken med OAuth 2.0-godkendelse
  • Microsoft Sentinel arbejdsområde-id

Angiv disse værdier i konfigurationen af din integrerede TIP- eller brugerdefinerede løsning, hvor det er påkrævet.

  1. Send trusselsintelligensen til upload-API'en. Du kan få flere oplysninger under Microsoft Sentinel API til upload.
  2. Inden for nogle få minutter skal trusselsintelligensobjekter begynde at strømme ind i dit Microsoft Sentinel arbejdsområde. Find de nye STIX-objekter på siden Threat intelligence, som du kan få adgang til via menuen Microsoft Sentinel.

Relateret indhold

I denne artikel har du lært, hvordan du opretter forbindelse mellem dine TIP og Microsoft Sentinel. Du kan få mere at vide om brug af trusselsintelligens i Microsoft Sentinel i følgende artikler:

  • Last updated on