Forbind din platform til trusselsintelligens med Microsoft Sentinel

Mange organisationer bruger TIP-løsninger (Threat Intelligence Platform) til at aggregere trusselsindikatorfeeds fra forskellige kilder. Fra det samlede feed er dataene udvalgt til at gælde for sikkerhedsløsninger, f.eks. netværksenheder, EDR/XDR-løsninger eller SIEM-løsninger (security information and event management), f.eks. Microsoft Sentinel. Ved hjælp af TIP-dataconnectoren kan du bruge disse løsninger til at importere trusselsindikatorer til Microsoft Sentinel.

Da dataconnectoren TIP fungerer sammen med API'en til Microsoft Graph Security tiIndicators for at udføre denne proces, kan du bruge connectoren til at sende indikatorer til Microsoft Sentinel (og til andre Microsoft-sikkerhedsløsninger som Defender XDR) fra alle andre brugerdefinerede TIP, der kan kommunikere med den pågældende API.

Få mere at vide om trusselsintelligens i Microsoft Sentinel og specifikt om de TIP-produkter, du kan integrere med Microsoft Sentinel.

Forudsætninger

• Hvis du vil installere, opdatere og slette separat indhold eller løsninger i indholdshubben, skal du have rollen Microsoft Sentinel bidragyder på ressourcegruppeniveau.
• Hvis du vil give tilladelser til dit TIP-produkt eller andre brugerdefinerede programmer, der bruger direkte integration med API'en til Microsoft Graph TI-indikatorer, skal du have rollen Sikkerhedsadministrator Microsoft Entra eller de tilsvarende tilladelser.
• Hvis du vil gemme dine trusselsindikatorer, skal du have læse- og skrivetilladelser til Microsoft Sentinel arbejdsområdet.

Instruktioner

Hvis du vil importere trusselsindikatorer for at Microsoft Sentinel fra din integrerede TIP- eller brugerdefinerede trusselsintelligensløsning, skal du følge disse trin:

1. Hent et program-id og en klienthemmelighed fra Microsoft Entra ID.
2. Angiv disse oplysninger i din TIP-løsning eller dit brugerdefinerede program.
3. Aktivér TIP-dataconnectoren i Microsoft Sentinel.

Tilmeld dig et program-id og en klienthemmelighed fra Microsoft Entra ID

Uanset om du arbejder med et tip eller en brugerdefineret løsning, kræver tiIndicators API nogle grundlæggende oplysninger, så du kan oprette forbindelse mellem dit feed og det og sende det trusselsindikatorer. De tre oplysninger, du skal bruge, er:

• Program-id (klient)
• Mappe-id (lejer)
• Klienthemmelighed

Du kan få disse oplysninger fra Microsoft Entra ID via appregistrering, som omfatter følgende tre trin:

• Registrer en app med Microsoft Entra ID.
• Angiv de tilladelser, der kræves af appen for at oprette forbindelse til Microsoft Graph tiIndicators-API'en og sende trusselsindikatorer.
• Få samtykke fra din organisation til at give disse tilladelser til dette program.

Registrer et program hos Microsoft Entra ID

1. Gå til Microsoft Entra ID i Azure Portal.

2. Vælg Appregistreringer i menuen, og vælg derefter Ny registrering.

3. Vælg et navn til programregistreringen, vælg Enkelt lejer, og vælg derefter Registrer.

   

4. På den skærm, der åbnes, skal du kopiere værdierne for program-id'et (klient) og mappe-id'et (lejeren). Du skal bruge disse to oplysninger senere for at konfigurere din TIP eller brugerdefinerede løsning for at sende trusselsindikatorer til Microsoft Sentinel. Den tredje oplysning, du har brug for, klienthemmeligheden, kommer senere.

Angiv de tilladelser, der kræves af programmet

1. Gå tilbage til hovedsiden i Microsoft Entra ID.

2. Vælg Appregistreringer i menuen, og vælg derefter din nyligt registrerede app.

3. Vælg API-tilladelser>Tilføj en tilladelse i menuen.

4. Vælg Microsoft Graph API på siden Vælg en API. Vælg derefter på en liste over Microsoft Graph-tilladelser.

5. Vælg Programtilladelser, når du bliver spurgt Hvilken type tilladelser kræver dit program?. Denne tilladelse er den type, der bruges af programmer, der godkendes med app-id og apphemmeligheder (API-nøgler).

6. Vælg ThreatIndicators.ReadWrite.OwnedBy, og vælg derefter Tilføj tilladelser for at føje denne tilladelse til din apps liste over tilladelser.

   

Få samtykke fra din organisation til at give disse tilladelser

1. Hvis du vil give samtykke, skal du have en privilegeret rolle. Du kan få flere oplysninger under Tildel administratorsamtykke for hele lejeren til et program.

   

2. Når dit samtykke er givet til din app, får du vist et grønt flueben under Status.

Når din app er registreret, og der er tildelt tilladelser, skal du have en klienthemmelighed til din app.

1. Gå tilbage til hovedsiden i Microsoft Entra ID.

2. Vælg Appregistreringer i menuen, og vælg derefter din nyligt registrerede app.

3. Vælg Certifikater & hemmeligheder i menuen. Vælg derefter Ny klienthemmelighed for at modtage en hemmelighed (API-nøgle) for din app.

   

4. Vælg Tilføj, og kopiér derefter klienthemmeligheden.

   Vigtigt!

   Du skal kopiere klienthemmeligheden, før du forlader dette skærmbillede. Du kan ikke hente denne hemmelighed igen, hvis du går væk fra denne side. Du skal bruge denne værdi, når du konfigurerer dit TIP eller din brugerdefinerede løsning.

Angiv disse oplysninger i din TIP-løsning eller dit brugerdefinerede program

Du har nu alle tre oplysninger, du skal bruge for at konfigurere din TIP- eller brugerdefinerede løsning for at sende trusselsindikatorer til Microsoft Sentinel:

• Program-id (klient)
• Mappe-id (lejer)
• Klienthemmelighed

Angiv disse værdier i konfigurationen af din integrerede TIP- eller brugerdefinerede løsning, hvor det er påkrævet.

1. Angiv Azure Sentinel for destinationsproduktet. Hvis du angiver Microsoft Sentinel, opstår der en fejl.

2. Angiv en besked for handlingen.

Når konfigurationen er fuldført, sendes trusselsindikatorer fra din TIP- eller brugerdefinerede løsning via Microsoft Graph tiIndicators API, der er målrettet til Microsoft Sentinel.

Aktivér dataconnectoren TIP i Microsoft Sentinel

Det sidste trin i integrationsprocessen er at aktivere TIP-dataconnectoren i Microsoft Sentinel. Aktivering af connectoren gør det muligt for Microsoft Sentinel at modtage trusselsindikatorer, der er sendt fra dit TIP eller den brugerdefinerede løsning. Disse indikatorer er tilgængelige for alle Microsoft Sentinel arbejdsområder for din organisation. Hvis du vil aktivere TIP-dataconnectoren for hvert arbejdsområde, skal du følge disse trin:

1. For Microsoft Sentinel i Azure Portal under Indholdsstyring skal du vælge Indholdshub.
   For Microsoft Sentinel på Defender-portalen skal du vælge Microsoft Sentinel>Indholdshub til administration> afindhold.

2. Find og vælg Threat Intelligence-løsningen .

3. Vælg knappen Installér/Opdater .

   Du kan finde flere oplysninger om, hvordan du administrerer løsningskomponenterne, under Find og udrul indhold, der er klar til brug.

4. Hvis du vil konfigurere TIP-dataconnectoren, skal du vælge Konfiguration>Af dataconnectorer.

5. Find og vælg dataconnectoren Threat Intelligence – BEING DEPRECATED , og vælg derefter Siden Åbn connector.

6. Da du allerede er færdig med appregistreringen og konfigureret din TIP- eller brugerdefinerede løsning til at sende trusselsindikatorer, er det eneste trin tilbage at vælge Opret forbindelse.

Inden for nogle få minutter bør trusselsindikatorer begynde at strømme ind i dette Microsoft Sentinel arbejdsområde. Du kan finde de nye indikatorer i ruden Trusselsintelligens, som du kan få adgang til i menuen Microsoft Sentinel.

Relateret indhold

I denne artikel har du lært, hvordan du opretter forbindelse mellem dit TIP og Microsoft Sentinel ved hjælp af en metode i forbindelse med udfasning. Hvis du vil oprette forbindelse til dit tip ved hjælp af den anbefalede metode, skal du se Opret forbindelse mellem dit tip og upload-API'en.

• Få mere at vide om, hvordan du får indsigt i dine data og potentielle trusler.
• Kom i gang med at registrere trusler med Microsoft Sentinel.