Yhdistä uhkien hallintaympäristö Microsoft Sentinel latauksen ohjelmointirajapinnan avulla (esikatselu)

  • Koskee seuraavia:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Monet organisaatiot käyttävät uhkien hallintaympäristön (TIP) ratkaisuja uhkatietosyötteiden koostamiseen eri lähteistä. Koostesyötteestä tiedot kuratoidaan koskemaan suojausratkaisuja, kuten verkkolaitteita, EDR/XDR-ratkaisuja tai suojaustieto- ja tapahtumahallintaratkaisuja (SIEM), kuten Microsoft Sentinel. Teollisuuden standardia kyberuhkia koskevien tietojen kuvaamiseen kutsutaan nimellä "Structured Threat Information Expression" tai STIX. Käyttämällä STIX-objekteja tukevaa latauksen ohjelmointirajapintaa käytät ilmeikkämpää tapaa tuoda uhkatietoja Microsoft Sentinel.

Latauksen ohjelmointirajapinta kerää uhkatietoja Microsoft Sentinel ilman tietoyhdistimen tarvetta. Tässä artikkelissa kuvataan, mitä yhteyden muodostaminen edellyttää. Lisätietoja ohjelmointirajapinnan tiedoista on viiteasiakirjassa, Microsoft Sentinel lataa ohjelmointirajapinta.

Näyttökuva, joka näyttää uhkatietojen tuontipolun.

Lisätietoja uhkien hallinnasta on artikkelissa Uhkien tiedustelu.

Tärkeää

uhkien Microsoft Sentinel lataamisen ohjelmointirajapinta on esikatselussa. Microsoft Azure Preview -esiversioiden lisäkäyttöehdot -kohdassa on lisää oikeudellisia ehtoja, jotka koskevat Azure ominaisuuksia, jotka ovat beetaversiossa, esikatselussa tai muussa tapauksessa vielä yleisesti saatavilla.

31.3.2027 jälkeen Microsoft Sentinel ei enää tueta Azure-portaali ja se on käytettävissä vain Microsoft Defender-portaalissa. Kaikki asiakkaat, jotka käyttävät Microsoft Sentinel Azure-portaali, ohjataan Defender-portaaliin ja he käyttävät Microsoft Sentinel vain Defender-portaalissa. Heinäkuusta 2025 alkaen monet uudet asiakkaat lisätään automaattisesti ja ohjataan Defender-portaaliin.

Jos käytät edelleen Microsoft Sentinel Azure-portaali, suosittelemme, että aloitat Defender-portaaliin siirtymisen suunnittelun, jotta siirtyminen olisi sujuvaa ja jotta voit hyödyntää täysin Microsoft Defender tarjoamaa yhtenäistä suojaustoimintokokemusta. Lisätietoja on kohdassa Siirron aika: Microsoft Sentinel käytöstä poistamisen Azure-portaali suojauksen lisäämiseksi.

Huomautus

Lisätietoja ominaisuuksien saatavuudesta Yhdysvaltain valtionhallinnon pilvipalveluissa on kohdassa Microsoft Sentinel taulukot Pilvipalvelun ominaisuuksien käytettävyydestä Yhdysvaltain valtionhallinnon asiakkaille.

Ennakkovaatimukset

  • Sinulla on oltava Microsoft Sentinel työtilan luku- ja kirjoitusoikeudet, jotta voit tallentaa uhkatietojen STIX-objektit.
  • Sinun on pystyttävä rekisteröimään Microsoft Entra sovellus.
  • Microsoft Entra sovelluksellesi on myönnettävä Microsoft Sentinel Osallistuja-rooli työtilatasolla.

Ohjeet

Voit tuoda uhkatietojen STIX-objekteja Microsoft Sentinel integroidusta TIP- tai mukautetusta uhkatietoratkaisustasi seuraavasti:

  1. Rekisteröi Microsoft Entra sovellus ja tallenna sen sovellustunnus.
  2. Luo ja tallenna Microsoft Entra sovelluksesi asiakassalaisuus.
  3. Määritä Microsoft Entra sovelluksellesi Microsoft Sentinel Osallistuja-rooli tai vastaava.
  4. Määritä TIP-ratkaisu tai mukautettu sovellus.

Microsoft Entra sovelluksen rekisteröiminen

Oletusarvoiset käyttäjäroolin käyttöoikeudet sallivat käyttäjien luoda sovelluksen rekisteröinnit. Jos asetuksen arvoksi vaihdettiin Ei, tarvitset oikeuden hallita sovelluksia Microsoft Entra. Jokin seuraavista Microsoft Entra rooleista sisältää vaaditut käyttöoikeudet:

  • Sovelluksen järjestelmänvalvoja
  • Sovelluskehittäjä
  • Pilvipalvelusovelluksen järjestelmänvalvoja

Lisätietoja Microsoft Entra sovelluksen rekisteröimisestä on kohdassa Sovelluksen rekisteröiminen.

Kun olet rekisteröinyt sovelluksen, tallenna sen sovelluksen (asiakkaan) tunnus sovelluksen Yleiskatsaus-välilehdeltä .

Roolin määrittäminen sovellukselle

Latauksen ohjelmointirajapinta tarkastelee uhkatieto-objekteja työtilatasolla ja edellyttää Microsoft Sentinel Osallistujan roolia.

  1. Siirry Azure-portaali kohtaan Log Analytics -työtilat.

  2. Valitse Käyttöoikeuksien valvonta (IAM).

  3. Valitse Lisää Lisää>roolimääritys.

  4. Valitse Rooli-välilehdessäMicrosoft Sentinel Osallistuja-rooli ja valitse sitten Seuraava.

  5. Valitse Jäsenet-välilehdessäMääritä käyttöoikeus käyttäjälle, ryhmälle tai palvelun päänimelle>.

  6. Valitse jäsenet. Oletusarvoisesti Microsoft Entra sovellukset eivät näy käytettävissä olevissa asetuksissa. Etsi sovellus etsimällä se nimen mukaan.

    Näyttökuva, jossa näkyy Microsoft Sentinel Osallistuja-rooli, joka on määritetty sovellukselle työtilatasolla.

  7. Valitse Tarkista + määritys.

Lisätietoja roolien määrittämisestä sovelluksille on kohdassa Roolin määrittäminen sovellukselle.

Uhkien hallintaympäristöratkaisun tai mukautetun sovelluksen määrittäminen

Latauksen ohjelmointirajapinta edellyttää seuraavia määritystietoja:

  • Sovelluksen (asiakkaan) tunnus
  • Microsoft Entra käyttöoikeustietue OAuth 2.0 -todennuksella
  • Microsoft Sentinel työtilan tunnus

Anna nämä arvot tarvittaessa integroidun TIP- tai mukautetun ratkaisun määrityksessä.

  1. Lähetä uhkatiedot latauksen ohjelmointirajapintaan. Lisätietoja on artikkelissa ohjelmointirajapinnan lataaminen Microsoft Sentinel.
  2. Uhkatieto-objektien pitäisi alkaa virtaaa Microsoft Sentinel työtilaasi muutaman minuutin kuluessa. Etsi uudet STIX-objektit Uhkien tiedustelu -sivulta, joka on käytettävissä Microsoft Sentinel-valikosta.

Aiheeseen liittyvä sisältö

Tässä artikkelissa opit yhdistämään vihjeen Microsoft Sentinel. Lisätietoja uhkatietojen käytöstä Microsoft Sentinel on seuraavissa artikkeleissa:

  • Last updated on