Verbinden Ihrer Threat Intelligence-Plattform mit Microsoft Sentinel

Viele Organisationen verwenden TIP-Lösungen (Threat Intelligence Platform), um Bedrohungsindikatorfeeds aus verschiedenen Quellen zu aggregieren. Aus dem aggregierten Feed werden die Daten für Sicherheitslösungen wie Netzwerkgeräte, EDR/XDR-Lösungen oder SIEM-Lösungen (Security Information and Event Management) wie Microsoft Sentinel zusammengestellt. Mithilfe des TIP-Datenconnectors können Sie diese Lösungen verwenden, um Bedrohungsindikatoren in Microsoft Sentinel zu importieren.

Da der TIP-Datenconnector für diesen Prozess mit der Microsoft Graph Security tiIndicators-API zusammenarbeitet, können Sie den Connector verwenden, um Indikatoren von jedem anderen benutzerdefinierten TIP, der mit dieser API kommunizieren kann, an Microsoft Sentinel (und an andere Microsoft-Sicherheitslösungen wie Defender XDR) zu senden.

Erfahren Sie mehr über Threat Intelligence in Microsoft Sentinel und insbesondere über die TIP-Produkte, die Sie in Microsoft Sentinel integrieren können.

Voraussetzungen

• Zum Installieren, Aktualisieren und Löschen eigenständiger Inhalte oder Lösungen im Inhaltshub benötigen Sie die Rolle Microsoft Sentinel Mitwirkender auf Ressourcengruppenebene.
• Um Berechtigungen für Ihr TIP-Produkt oder eine andere benutzerdefinierte Anwendung zu erteilen, die eine direkte Integration mit der Microsoft Graph TI Indicators-API verwendet, müssen Sie über die Rolle Sicherheitsadministrator Microsoft Entra oder die entsprechenden Berechtigungen verfügen.
• Zum Speichern Ihrer Bedrohungsindikatoren benötigen Sie Lese- und Schreibberechtigungen für den Microsoft Sentinel Arbeitsbereich.

Anweisungen

Führen Sie die folgenden Schritte aus, um Bedrohungsindikatoren aus Ihrer integrierten TIP- oder benutzerdefinierten Threat Intelligence-Lösung in Microsoft Sentinel zu importieren:

1. Rufen Sie eine Anwendungs-ID und einen geheimen Clientschlüssel aus Microsoft Entra ID ab.
2. Geben Sie diese Informationen in Ihre TIP-Lösung oder benutzerdefinierte Anwendung ein.
3. Aktivieren Sie den TIP-Datenconnector in Microsoft Sentinel.

Registrieren für eine Anwendungs-ID und einen geheimen Clientschlüssel aus Microsoft Entra ID

Unabhängig davon, ob Sie mit einem TIP oder einer benutzerdefinierten Lösung arbeiten, benötigt die tiIndicators-API einige grundlegende Informationen, damit Sie Ihren Feed mit ihm verbinden und Bedrohungsindikatoren senden können. Die folgenden drei Informationen benötigen Sie:

• Anwendungs-ID (Client-ID)
• Verzeichnis-ID (Mandant)
• Geheimer Clientschlüssel

Sie können diese Informationen von Microsoft Entra ID über die App-Registrierung abrufen, die die folgenden drei Schritte umfasst:

• Registrieren sie eine App bei Microsoft Entra ID.
• Geben Sie die Berechtigungen an, die für die App erforderlich sind, um eine Verbindung mit der Microsoft Graph tiIndicators-API herzustellen und Bedrohungsindikatoren zu senden.
• Holen Sie sich die Zustimmung Ihres organization ein, diese Berechtigungen für diese Anwendung zu erteilen.

Registrieren einer Anwendung bei Microsoft Entra ID

1. Wechseln Sie im Azure-Portal zu Microsoft Entra ID.

2. Wählen Sie im Menü App-Registrierungen und dann Neue Registrierung aus.

3. Wählen Sie einen Namen für Ihre Anwendungsregistrierung aus, wählen Sie Einzelner Mandant und dann Registrieren aus.

   

4. Kopieren Sie auf dem daraufhin geöffneten Bildschirm die Werte Anwendungs-ID (Client-ID) und Verzeichnis-ID (Mandant). Sie benötigen diese beiden Informationen später, um Ihre TIP- oder benutzerdefinierte Lösung so zu konfigurieren, dass Bedrohungsindikatoren an Microsoft Sentinel gesendet werden. Die dritte Information, die Sie benötigen, der geheime Clientschlüssel, kommt später.

Angeben der für die Anwendung erforderlichen Berechtigungen

1. Zurück zur Hauptseite von Microsoft Entra ID.

2. Wählen Sie im Menü App-Registrierungen und dann Ihre neu registrierte App aus.

3. Wählen Sie im Menü API-Berechtigungen>Berechtigung hinzufügen aus.

4. Wählen Sie auf der Seite API auswählen die Microsoft Graph-API aus. Wählen Sie dann aus einer Liste von Microsoft Graph-Berechtigungen aus.

5. Wählen Sie an der Eingabeaufforderung Welche Art von Berechtigungen ist für Ihre Anwendung erforderlich?, die Option Anwendungsberechtigungen aus. Diese Berechtigung ist der Typ, der von Anwendungen verwendet wird, die sich mit App-ID und App-Geheimnissen (API-Schlüssel) authentifizieren.

6. Wählen Sie ThreatIndicators.ReadWrite.OwnedBy und dann Berechtigungen hinzufügen aus, um diese Berechtigung der Berechtigungsliste Ihrer App hinzuzufügen.

   

Einholen der Zustimmung Ihres organization zum Erteilen dieser Berechtigungen

1. Um die Zustimmung zu erteilen, ist eine privilegierte Rolle erforderlich. Weitere Informationen finden Sie unter Erteilen der mandantenweiten Administratoreinwilligung für eine Anwendung.

   

2. Nachdem Die Zustimmung für Ihre App erteilt wurde, sollte unter Status ein grünes Häkchen angezeigt werden.

Nachdem Ihre App registriert wurde und Berechtigungen erteilt wurden, müssen Sie einen geheimen Clientschlüssel für Ihre App abrufen.

1. Zurück zur Hauptseite von Microsoft Entra ID.

2. Wählen Sie im Menü App-Registrierungen und dann Ihre neu registrierte App aus.

3. Wählen Sie im Menü Zertifikate & Geheimnisse aus. Wählen Sie dann Neuer geheimer Clientschlüssel aus, um ein Geheimnis (API-Schlüssel) für Ihre App zu erhalten.

   

4. Wählen Sie Hinzufügen aus, und kopieren Sie dann den geheimen Clientschlüssel.

   Wichtig

   Sie müssen den geheimen Clientschlüssel kopieren, bevor Sie diesen Bildschirm verlassen. Sie können dieses Geheimnis nicht mehr abrufen, wenn Sie diese Seite verlassen. Sie benötigen diesen Wert, wenn Sie Ihre TIP- oder benutzerdefinierte Lösung konfigurieren.

Geben Sie diese Informationen in Ihre TIP-Lösung oder benutzerdefinierte Anwendung ein.

Sie verfügen nun über alle drei Informationen, die Sie zum Konfigurieren Ihrer TIP- oder benutzerdefinierten Lösung benötigen, um Bedrohungsindikatoren an Microsoft Sentinel zu senden:

• Anwendungs-ID (Client-ID)
• Verzeichnis-ID (Mandant)
• Geheimer Clientschlüssel

Geben Sie diese Werte bei Bedarf in die Konfiguration Ihrer integrierten TIP- oder benutzerdefinierten Lösung ein.

1. Geben Sie für das Zielprodukt Azure Sentinel an. (Das Angeben von Microsoft Sentinel führt zu einem Fehler.)

2. Geben Sie für die Aktion warnung an.

Nach Abschluss der Konfiguration werden Bedrohungsindikatoren von Ihrer TIP- oder benutzerdefinierten Lösung über die Microsoft Graph tiIndicators-API gesendet, die auf Microsoft Sentinel ausgerichtet ist.

Aktivieren des TIP-Datenconnectors in Microsoft Sentinel

Der letzte Schritt im Integrationsprozess besteht darin, den TIP-Datenconnector in Microsoft Sentinel zu aktivieren. Durch die Aktivierung des Connectors können Microsoft Sentinel die von Ihrer TIP- oder benutzerdefinierten Lösung gesendeten Bedrohungsindikatoren empfangen. Diese Indikatoren sind für alle Microsoft Sentinel Arbeitsbereiche für Ihre organization verfügbar. Führen Sie die folgenden Schritte aus, um den TIP-Datenconnector für jeden Arbeitsbereich zu aktivieren:

1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Inhaltsverwaltungdie Option Inhaltshub aus.
   Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel>Content Management>Content Hub aus.

2. Suchen Sie die Threat Intelligence-Lösung , und wählen Sie sie aus.

3. Wählen Sie die Schaltfläche Installieren/Aktualisieren aus.

   Weitere Informationen zum Verwalten der Lösungskomponenten finden Sie unter Ermitteln und Bereitstellen von sofort einsatzbereiten Inhalten.

4. Um den TIP-Datenconnector zu konfigurieren, wählen SieKonfigurationsdatenconnectors> aus.

5. Suchen Sie den Datenconnector Threat Intelligence Platforms – BEING DEPRECATED (Threat Intelligence-Plattformen – VERALTET ) und wählen Sie diesen aus, und wählen Sie dann Connectorseite öffnen aus.

6. Da Sie die App-Registrierung bereits abgeschlossen und Ihre TIP- oder benutzerdefinierte Lösung für das Senden von Bedrohungsindikatoren konfiguriert haben, ist der einzige Schritt, der noch besteht darin, Verbinden auszuwählen.

Innerhalb weniger Minuten sollten Bedrohungsindikatoren in diesen Microsoft Sentinel Arbeitsbereich fließen. Die neuen Indikatoren finden Sie im Bereich Threat Intelligence, auf den Sie über das Menü Microsoft Sentinel zugreifen können.

Verwandte Inhalte

In diesem Artikel haben Sie erfahren, wie Sie Ihre TIP-Verbindung mit Microsoft Sentinel mithilfe einer -Methode für den Pfad als veraltet herstellen. Informationen zum Verbinden Ihres TIP mithilfe der empfohlenen Methode finden Sie unter Verbinden Ihres TIP mit der Upload-API.

• Erfahren Sie, wie Sie Einblick in Ihre Daten und potenzielle Bedrohungen erhalten.
• Erste Schritte beim Erkennen von Bedrohungen mit Microsoft Sentinel.