Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Muchas organizaciones usan soluciones de plataforma de inteligencia sobre amenazas (TIP) para agregar fuentes de inteligencia sobre amenazas de varios orígenes. Desde la fuente agregada, los datos se seleccionan para aplicarlos a soluciones de seguridad como dispositivos de red, soluciones EDR/XDR o soluciones de administración de eventos e información de seguridad (SIEM), como Microsoft Sentinel. El estándar del sector para describir la información sobre ciberamenazas se denomina "Expresión de información sobre amenazas estructurada" o STIX. Mediante el uso de la API de carga que admite objetos STIX, se usa una manera más expresiva de importar la inteligencia sobre amenazas en Microsoft Sentinel.
La API de carga ingiere inteligencia sobre amenazas en Microsoft Sentinel sin necesidad de un conector de datos. En este artículo se describe lo que necesita para conectarse. Para obtener más información sobre los detalles de la API, consulte el documento de referencia Microsoft Sentinel api de carga.
Para obtener más información sobre la inteligencia sobre amenazas, consulte Inteligencia sobre amenazas.
Importante
La API de carga de inteligencia sobre amenazas Microsoft Sentinel está en versión preliminar. Consulte los Términos de uso complementarios para las versiones preliminares de Microsoft Azure para obtener más términos legales que se aplican a Azure características que están en versión beta, versión preliminar o que aún no se han publicado en disponibilidad general.
Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, muchos clientes nuevos se incorporan y redirigen automáticamente al portal de Defender.
Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender. Para obtener más información, vea It's Time to Move: Retireing Microsoft Sentinel's Azure Portal for greater security .net
Nota:
Para obtener información sobre la disponibilidad de características en las nubes del Gobierno de EE. UU., consulte las tablas de Microsoft Sentinel en disponibilidad de características en la nube para los clientes de US Government.
Requisitos previos
- Debe tener permisos de lectura y escritura en el área de trabajo de Microsoft Sentinel para almacenar los objetos STIX de inteligencia sobre amenazas.
- Debe poder registrar una aplicación Microsoft Entra.
- A la aplicación Microsoft Entra se le debe conceder el rol colaborador de Microsoft Sentinel en el nivel de área de trabajo.
Instrucciones
Siga estos pasos para importar objetos STIX de inteligencia sobre amenazas para Microsoft Sentinel desde la solución integrada TIP o de inteligencia de amenazas personalizada:
- Registre una aplicación Microsoft Entra y, a continuación, registre su identificador de aplicación.
- Genere y registre un secreto de cliente para la aplicación Microsoft Entra.
- Asigne a la aplicación Microsoft Entra el rol colaborador de Microsoft Sentinel o el equivalente.
- Configure la solución TIP o la aplicación personalizada.
Registro de una aplicación de Microsoft Entra
Los permisos de rol de usuario predeterminados permiten a los usuarios crear registros de aplicaciones. Si esta configuración se cambió a No, necesita permiso para administrar aplicaciones en Microsoft Entra. Cualquiera de los siguientes roles de Microsoft Entra incluye los permisos necesarios:
- Administrador de aplicaciones
- Desarrollador de la aplicación
- Administrador de aplicaciones en la nube
Para obtener más información sobre cómo registrar la aplicación Microsoft Entra, consulte Registro de una aplicación.
Después de registrar la aplicación, registre su identificador de aplicación (cliente) en la pestaña Información general de la aplicación.
Asignación de un rol a la aplicación
La API de carga ingiere objetos de inteligencia sobre amenazas en el nivel de área de trabajo y requiere el rol de colaborador de Microsoft Sentinel.
En el Azure Portal, vaya a Áreas de trabajo de Log Analytics.
Seleccione Control de acceso (IAM).
Seleccione Agregar>Agregar una asignación de roles.
En la pestaña Rol, seleccione el rol colaborador Microsoft Sentinel y, a continuación, seleccione Siguiente.
En la pestaña Miembros , seleccione Asignar acceso al>usuario, grupo o entidad de servicio.
Seleccione miembros. De forma predeterminada, las aplicaciones Microsoft Entra no se muestran en las opciones disponibles. Para buscar la aplicación, búsela por nombre.
Seleccione Revisar + asignar.
Para obtener más información sobre cómo asignar roles a aplicaciones, consulte Asignación de un rol a la aplicación.
Configuración de la solución de la plataforma de inteligencia sobre amenazas o la aplicación personalizada
La API de carga requiere la siguiente información de configuración:
- Identificador de aplicación (cliente)
- Microsoft Entra token de acceso con autenticación de OAuth 2.0
- Microsoft Sentinel identificador del área de trabajo
Escriba estos valores en la configuración de la TIP integrada o la solución personalizada cuando sea necesario.
- Envíe la inteligencia sobre amenazas a la API de carga. Para obtener más información, consulte Microsoft Sentinel API de carga.
- En unos minutos, los objetos de inteligencia sobre amenazas deben empezar a fluir en el área de trabajo de Microsoft Sentinel. Busque los nuevos objetos STIX en la página Inteligencia sobre amenazas, a la que se puede acceder desde el menú Microsoft Sentinel.
Contenido relacionado
En este artículo, ha aprendido a conectar la SUGERENCIA a Microsoft Sentinel. Para obtener más información sobre el uso de la inteligencia sobre amenazas en Microsoft Sentinel, consulte los artículos siguientes:
- Descripción de la inteligencia sobre amenazas.
- Trabaje con indicadores de amenazas a lo largo de la experiencia de Microsoft Sentinel.
- Empiece a detectar amenazas con reglas de análisis integradas o personalizadas en Microsoft Sentinel.