Connecter votre plateforme de renseignement sur les menaces à Microsoft Sentinel

De nombreuses organisations utilisent des solutions de plateforme de renseignement sur les menaces (TIP) pour agréger des flux d’indicateurs de menace provenant de différentes sources. À partir du flux agrégé, les données sont organisées pour s’appliquer à des solutions de sécurité telles que des appareils réseau, des solutions EDR/XDR ou des solutions SIEM (Security Information and Event Management) telles que Microsoft Sentinel. À l’aide du connecteur de données TIP, vous pouvez utiliser ces solutions pour importer des indicateurs de menace dans Microsoft Sentinel.

Étant donné que le connecteur de données TIP fonctionne avec l’API TiIndicators de sécurité Microsoft Graph pour effectuer ce processus, vous pouvez utiliser le connecteur pour envoyer des indicateurs à Microsoft Sentinel (et à d’autres solutions de sécurité Microsoft comme Defender XDR) à partir de tout autre TIP personnalisé pouvant communiquer avec cette API.

En savoir plus sur le renseignement sur les menaces dans Microsoft Sentinel, et plus particulièrement sur les produits TIP que vous pouvez intégrer à Microsoft Sentinel.

Configuration requise

• Pour installer, mettre à jour et supprimer du contenu ou des solutions autonomes dans le hub de contenu, vous avez besoin du rôle Contributeur Microsoft Sentinel au niveau du groupe de ressources.
• Pour accorder des autorisations à votre produit TIP ou à toute autre application personnalisée qui utilise l’intégration directe à l’API Microsoft Graph TI Indicators, vous devez disposer du rôle Administrateur de la sécurité Microsoft Entra ou des autorisations équivalentes.
• Pour stocker vos indicateurs de menace, vous devez disposer d’autorisations de lecture et d’écriture sur l’espace de travail Microsoft Sentinel.

Instructions

Pour importer des indicateurs de menace pour Microsoft Sentinel à partir de votre tip intégré ou de votre solution de renseignement sur les menaces personnalisée, procédez comme suit :

1. Obtenez un ID d’application et une clé secrète client à partir de Microsoft Entra ID.
2. Entrez ces informations dans votre solution TIP ou votre application personnalisée.
3. Activez le connecteur de données TIP dans Microsoft Sentinel.

Inscrivez-vous pour obtenir un ID d’application et une clé secrète client à partir de Microsoft Entra ID

Que vous travailliez avec un TIP ou une solution personnalisée, l’API tiIndicators nécessite des informations de base pour vous permettre de connecter votre flux à celui-ci et de lui envoyer des indicateurs de menace. Les trois informations dont vous avez besoin sont les suivantes :

• ID de l’application (client)
• ID d’annuaire (locataire)
• Clé secrète client

Vous pouvez obtenir ces informations à partir de Microsoft Entra ID via l’inscription de l’application, qui comprend les trois étapes suivantes :

• Inscrire une application avec Microsoft Entra ID.
• Spécifiez les autorisations requises par l’application pour se connecter à l’API Microsoft Graph tiIndicators et envoyer des indicateurs de menace.
• Obtenez le consentement de votre organization pour accorder ces autorisations à cette application.

Inscrire une application auprès de Microsoft Entra ID

1. Dans le Portail Azure, allez à Microsoft Entra ID.

2. Dans le menu, sélectionnez Inscriptions d’applications, puis Nouvelle inscription.

3. Choisissez un nom pour l’inscription de votre application, sélectionnez Client unique, puis Inscrire.

   

4. Dans l’écran qui s’ouvre, copiez les valeurs ID d’application (client) et ID d’annuaire (locataire). Vous aurez besoin de ces deux informations ultérieurement pour configurer votre tip ou votre solution personnalisée afin d’envoyer des indicateurs de menace à Microsoft Sentinel. La troisième information dont vous avez besoin, la clé secrète client, vient plus tard.

Spécifier les autorisations requises par l’application

1. Retour à la page principale de Microsoft Entra ID.

2. Dans le menu, sélectionnez Inscriptions d’applications, puis sélectionnez votre application nouvellement inscrite.

3. Dans le menu, sélectionnez Autorisations d’API>Ajouter une autorisation.

4. Dans la page Sélectionner une API , sélectionnez l’API Microsoft Graph . Choisissez ensuite dans une liste d’autorisations Microsoft Graph.

5. À l’invite De quel type d’autorisations votre application a-t-elle besoin ?, sélectionnez Autorisations d’application. Cette autorisation est le type utilisé par les applications qui s’authentifient avec l’ID d’application et les secrets d’application (clés API).

6. Sélectionnez ThreatIndicators.ReadWrite.OwnedBy, puis ajouter des autorisations pour ajouter cette autorisation à la liste des autorisations de votre application.

   

Obtenir le consentement de votre organization pour accorder ces autorisations

1. Pour accorder le consentement, un rôle privilégié est requis. Pour plus d’informations, consultez Accorder un consentement administrateur à l’échelle du locataire à une application.

   

2. Une fois le consentement accordé à votre application, vous devez voir une marque de case activée verte sous État.

Une fois votre application inscrite et les autorisations accordées, vous devez obtenir une clé secrète client pour votre application.

1. Retour à la page principale de Microsoft Entra ID.

2. Dans le menu, sélectionnez Inscriptions d’applications, puis sélectionnez votre application nouvellement inscrite.

3. Dans le menu, sélectionnez Certificats & secrets. Sélectionnez ensuite Nouveau secret client pour recevoir un secret (clé API) pour votre application.

   

4. Sélectionnez Ajouter, puis copiez la clé secrète client.

   Importante

   Vous devez copier la clé secrète client avant de quitter cet écran. Vous ne pouvez plus récupérer ce secret si vous quittez cette page. Vous avez besoin de cette valeur lorsque vous configurez votre tip ou votre solution personnalisée.

Entrez ces informations dans votre solution TIP ou votre application personnalisée

Vous disposez maintenant des trois informations dont vous avez besoin pour configurer votre tip ou votre solution personnalisée afin d’envoyer des indicateurs de menace à Microsoft Sentinel :

• ID de l’application (client)
• ID d’annuaire (locataire)
• Clé secrète client

Entrez ces valeurs dans la configuration de votre tip intégré ou de votre solution personnalisée si nécessaire.

1. Pour le produit cible, spécifiez Azure Sentinel. (La spécification de Microsoft Sentinel génère une erreur.)

2. Pour l’action, spécifiez l’alerte.

Une fois la configuration terminée, les indicateurs de menace sont envoyés à partir de votre tip ou solution personnalisée, via l’API Microsoft Graph tiIndicators, destinée à Microsoft Sentinel.

Activer le connecteur de données TIP dans Microsoft Sentinel

La dernière étape du processus d’intégration consiste à activer le connecteur de données TIP dans Microsoft Sentinel. L’activation du connecteur permet à Microsoft Sentinel de recevoir les indicateurs de menace envoyés à partir de votre tip ou solution personnalisée. Ces indicateurs sont disponibles pour tous les espaces de travail Microsoft Sentinel pour votre organization. Pour activer le connecteur de données TIP pour chaque espace de travail, procédez comme suit :

1. Pour Microsoft Sentinel dans le Portail Azure, sous Gestion du contenu, sélectionnez Hub de contenu.
   Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel> Hubde contenugestion du> contenu.

2. Recherchez et sélectionnez la solution Threat Intelligence .

3. Sélectionnez le bouton Installer/Mettre à jour.

   Pour plus d’informations sur la gestion des composants de la solution, consultez Découvrir et déployer du contenu prête à l’emploi.

4. Pour configurer le connecteur de données TIP, sélectionnezConnecteurs de donnéesde configuration>.

5. Recherchez et sélectionnez le connecteur de données Threat Intelligence Platforms - BEING DEPRECATED , puis sélectionnez Ouvrir la page du connecteur.

6. Étant donné que vous avez déjà terminé l’inscription de l’application et configuré votre tip ou votre solution personnalisée pour envoyer des indicateurs de menace, la seule étape restante consiste à sélectionner Se connecter.

En quelques minutes, les indicateurs de menace doivent commencer à circuler dans cet espace de travail Microsoft Sentinel. Vous trouverez les nouveaux indicateurs dans le volet Renseignement sur les menaces, auquel vous pouvez accéder à partir du menu Microsoft Sentinel.

Contenu connexe

Dans cet article, vous avez appris à connecter votre TIP à Microsoft Sentinel à l’aide d’une méthode sur le chemin d’accès pour la dépréciation. Pour connecter votre TIP à l’aide de la méthode recommandée, consultez Connecter votre TIP à l’API de chargement.

• Découvrez comment obtenir une visibilité sur vos données et les menaces potentielles.
• Commencez à détecter les menaces avec Microsoft Sentinel.