Conexión de la plataforma de inteligencia sobre amenazas a Microsoft Sentinel

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Nota:

Este conector de datos dejará de estar en desuso y dejará de recopilar datos en junio de 2026. Se recomienda realizar la transición al nuevo conector de datos de api indicadores de carga de Inteligencia sobre amenazas lo antes posible para garantizar la recopilación de datos ininterrumpida. Para obtener más información, consulte Conexión de la plataforma de inteligencia sobre amenazas a Microsoft Sentinel con la API de carga.

Muchas organizaciones usan soluciones de plataforma de inteligencia sobre amenazas (TIP) para agregar fuentes de indicadores de amenazas de varios orígenes. Desde la fuente agregada, los datos se seleccionan para aplicarlos a soluciones de seguridad como dispositivos de red, soluciones EDR/XDR o soluciones de administración de eventos e información de seguridad (SIEM), como Microsoft Sentinel. Mediante el conector de datos TIP, puede usar estas soluciones para importar indicadores de amenazas a Microsoft Sentinel.

Dado que el conector de datos TIP funciona con la API tiIndicators de Seguridad de Microsoft Graph para llevar a cabo este proceso, puede usar el conector para enviar indicadores a Microsoft Sentinel (y a otras soluciones de seguridad de Microsoft, como Defender XDR) desde cualquier otra SUGERENCIA personalizada que pueda comunicarse con esa API.

Captura de pantalla que muestra la ruta de acceso de importación de inteligencia sobre amenazas.

Nota:

Para obtener información sobre la disponibilidad de características en las nubes del Gobierno de EE. UU., consulte las tablas de Microsoft Sentinel en disponibilidad de características en la nube para los clientes de US Government.

Obtenga más información sobre la inteligencia sobre amenazas en Microsoft Sentinel y, específicamente, sobre los productos TIP que puede integrar con Microsoft Sentinel.

Importante

Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.

Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.

Requisitos previos

  • Para instalar, actualizar y eliminar el contenido o las soluciones independientes en el centro de contenido, necesita el rol colaborador de Microsoft Sentinel en el nivel de grupo de recursos.
  • Para conceder permisos al producto TIP o a cualquier otra aplicación personalizada que use la integración directa con la API de indicadores de TI de Microsoft Graph, debe tener el rol administrador de seguridad Microsoft Entra o los permisos equivalentes.
  • Para almacenar los indicadores de amenazas, debe tener permisos de lectura y escritura en el área de trabajo de Microsoft Sentinel.

Instrucciones

Para importar indicadores de amenazas a Microsoft Sentinel desde la solución integrada tip o de inteligencia de amenazas personalizada, siga estos pasos:

  1. Obtenga un identificador de aplicación y un secreto de cliente de Microsoft Entra ID.
  2. Escriba esta información en la solución TIP o en la aplicación personalizada.
  3. Habilite el conector de datos TIP en Microsoft Sentinel.

Regístrese para obtener un identificador de aplicación y un secreto de cliente de Microsoft Entra ID

Tanto si trabaja con una TIP como con una solución personalizada, la API tiIndicators requiere información básica que le permita conectar la fuente a ella y enviarle indicadores de amenazas. Los tres fragmentos de información que necesita son:

  • Identificador de aplicación (cliente)
  • Identificador de directorio (inquilino)
  • Secreto de cliente

Puede obtener esta información de Microsoft Entra ID a través del registro de aplicaciones, que incluye los tres pasos siguientes:

  • Registre una aplicación con Microsoft Entra ID.
  • Especifique los permisos necesarios para que la aplicación se conecte a la API tiIndicators de Microsoft Graph y envíe indicadores de amenazas.
  • Obtenga el consentimiento de su organización para conceder estos permisos a esta aplicación.

Registro de una aplicación con Microsoft Entra ID

  1. En el Azure Portal, vaya a Microsoft Entra ID.

  2. En el menú, seleccione Registros de aplicaciones y, a continuación, seleccione Nuevo registro.

  3. Elija un nombre para el registro de la aplicación, seleccione Inquilino único y, a continuación, seleccione Registrar.

    Captura de pantalla que muestra el registro de una aplicación.

  4. En la pantalla que se abre, copie los valores Id. de aplicación (cliente) e Id. de directorio (inquilino ). Necesitará estos dos fragmentos de información más adelante para configurar la TIP o la solución personalizada para enviar indicadores de amenazas a Microsoft Sentinel. La tercera parte de la información que necesita, el secreto de cliente, viene más tarde.

Especificar los permisos necesarios para la aplicación

  1. Volver a la página principal de Microsoft Entra ID.

  2. En el menú, seleccione Registros de aplicaciones y, a continuación, seleccione la aplicación recién registrada.

  3. En el menú, seleccione Permisos> de APIAgregar un permiso.

  4. En la página Seleccionar una API , seleccione Microsoft Graph API. A continuación, elija entre una lista de permisos de Microsoft Graph.

  5. En el símbolo del sistema ¿Qué tipo de permisos requiere la aplicación?, seleccione Permisos de aplicación. Este permiso es el tipo que usan las aplicaciones que se autentican con el identificador de aplicación y los secretos de aplicación (claves de API).

  6. Seleccione ThreatIndicators.ReadWrite.OwnedBy y, a continuación, seleccione Agregar permisos para agregar este permiso a la lista de permisos de la aplicación.

    Captura de pantalla que muestra cómo especificar permisos.

  1. Para conceder consentimiento, se requiere un rol con privilegios. Para obtener más información, consulte Concesión de consentimiento de administrador para todo el inquilino a una aplicación.

    Captura de pantalla que muestra la concesión de consentimiento.

  2. Una vez concedido el consentimiento a la aplicación, debería ver una marca de verificación verde en Estado.

Una vez registrada la aplicación y concedidos los permisos, debe obtener un secreto de cliente para la aplicación.

  1. Volver a la página principal de Microsoft Entra ID.

  2. En el menú, seleccione Registros de aplicaciones y, a continuación, seleccione la aplicación recién registrada.

  3. En el menú, seleccione Certificados & secretos. A continuación, seleccione Nuevo secreto de cliente para recibir un secreto (clave de API) para la aplicación.

    Captura de pantalla que muestra cómo obtener un secreto de cliente.

  4. Seleccione Agregar y copie el secreto de cliente.

    Importante

    Debe copiar el secreto de cliente antes de salir de esta pantalla. No puede recuperar este secreto de nuevo si se va de esta página. Necesita este valor al configurar la TIP o la solución personalizada.

Escriba esta información en la solución TIP o en la aplicación personalizada.

Ahora tiene los tres fragmentos de información que necesita para configurar su TIP o solución personalizada para enviar indicadores de amenazas a Microsoft Sentinel:

  • Identificador de aplicación (cliente)
  • Identificador de directorio (inquilino)
  • Secreto de cliente

Escriba estos valores en la configuración de la TIP integrada o la solución personalizada cuando sea necesario.

  1. Para el producto de destino, especifique Azure Sentinel. (Al especificar Microsoft Sentinel se produce un error).

  2. Para la acción, especifique la alerta.

Una vez finalizada la configuración, los indicadores de amenazas se envían desde la TIP o la solución personalizada, a través de la API tiIndicators de Microsoft Graph, destinada a Microsoft Sentinel.

Habilitar el conector de datos TIP en Microsoft Sentinel

El último paso del proceso de integración es habilitar el conector de datos TIP en Microsoft Sentinel. Habilitar el conector es lo que permite a Microsoft Sentinel recibir los indicadores de amenazas enviados desde la TIP o la solución personalizada. Estos indicadores están disponibles para todas las áreas de trabajo Microsoft Sentinel de su organización. Para habilitar el conector de datos TIP para cada área de trabajo, siga estos pasos:

  1. Para Microsoft Sentinel en el Azure Portal, en Administración de contenido, seleccione Centro de contenido.
    Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Contenido de contenido de administración> decontenido.

  2. Busque y seleccione la solución Threat Intelligence .

  3. Seleccione el botón Instalar o actualizar.

    Para obtener más información sobre cómo administrar los componentes de la solución, consulte Detección e implementación de contenido integrado.

  4. Para configurar el conector de datos TIP, seleccioneConectores de datosde configuración>.

  5. Busque y seleccione el conector de datos Plataformas de inteligencia sobre amenazas: ESTAR EN DESUSO y, a continuación, seleccione Abrir página del conector.

  6. Dado que ya ha terminado el registro de la aplicación y ha configurado la TIP o la solución personalizada para enviar indicadores de amenazas, el único paso que queda es seleccionar Conectar.

En unos minutos, los indicadores de amenazas deben empezar a fluir a esta Microsoft Sentinel área de trabajo. Puede encontrar los nuevos indicadores en el panel Inteligencia sobre amenazas, al que puede acceder desde el menú Microsoft Sentinel.

Contenido relacionado

En este artículo, ha aprendido a conectar la SUGERENCIA a Microsoft Sentinel mediante un método en la ruta de acceso para desuso. Para conectar la SUGERENCIA mediante el método recomendado, consulte Conexión de la SUGERENCIA con la API de carga.

  • Last updated on