Koble trusselintelligensplattformen til Microsoft Sentinel med API-en for opplasting (forhåndsvisning)

  • Gjelder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Mange organisasjoner bruker løsninger for trusselintelligensplattform (TIP) til å aggregere trusselintelligensfeeder fra ulike kilder. Fra den aggregerte feeden kurateres dataene for å gjelde for sikkerhetsløsninger som nettverksenheter, EDR/XDR-løsninger eller sikkerhetsinformasjons- og hendelsesbehandlingsløsninger (SIEM), for eksempel Microsoft Sentinel. Bransjestandarden for å beskrive informasjon om cybertrusler kalles Strukturerte trusselinformasjonsuttrykk eller STIX. Ved å bruke opplastings-API-en som støtter STIX-objekter, bruker du en mer uttrykksfull måte å importere trusselintelligens til Microsoft Sentinel.

Opplastingen av API-en inntar trusselintelligens i Microsoft Sentinel uten behov for en datakobling. Denne artikkelen beskriver hva du trenger å koble til. Hvis du vil ha mer informasjon om API-detaljene, kan du se referansedokumentet Microsoft Sentinel laste opp API-en.

Skjermbilde som viser importbanen for trusselintelligens.

Hvis du vil ha mer informasjon om trusselintelligens, kan du se Trusselintelligens.

Viktig

API-en for opplasting av Microsoft Sentinel trusselintelligens er i forhåndsversjon. Se tilleggsvilkårene for Bruk for Microsoft Azure Forhåndsvisninger for mer juridiske termer som gjelder for Azure funksjoner som er i beta, forhåndsversjon eller på annen måte ikke utgitt i generell tilgjengelighet.

Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen. Fra og med juli 2025 blir mange nye kunder automatisk omlastet og omdirigert til Defender-portalen.

Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender. Hvis du vil ha mer informasjon, kan du se Det er på tide å flytte: Tilbaketrekking av Microsoft Sentinel er Azure Portal for større sikkerhet.

Obs!

Hvis du vil ha informasjon om funksjonstilgjengelighet i US Government-skyer, kan du se Microsoft Sentinel tabeller i skyfunksjonstilgjengelighet for US Government-kunder.

Forutsetninger

  • Du må ha lese- og skrivetillatelser til arbeidsområdet Microsoft Sentinel for å lagre trusselintelligens-STIX-objektene dine.
  • Du må kunne registrere et Microsoft Entra program.
  • Det Microsoft Entra programmet må gis rollen Microsoft Sentinel bidragsyter på arbeidsområdenivå.

Instruksjoner

Følg disse trinnene for å importere STIX-objekter for trusselintelligens for å Microsoft Sentinel fra den integrerte TIPS- eller egendefinerte trusselintelligensløsningen:

  1. Registrer et Microsoft Entra program, og registrer deretter program-ID-en.
  2. Generer og registrer en klienthemmelighet for Microsoft Entra-programmet.
  3. Tilordne Microsoft Entra-programmet Microsoft Sentinel bidragsyterrolle eller tilsvarende.
  4. Konfigurer TIP-løsningen eller det egendefinerte programmet.

Registrere et Microsoft Entra program

Standard tillatelser for brukerrolle tillater brukere å opprette programregistreringer. Hvis denne innstillingen ble byttet til Nei, må du ha tillatelse til å behandle programmer i Microsoft Entra. Følgende Microsoft Entra roller inkluderer de nødvendige tillatelsene:

  • Programadministrator
  • Programutvikler
  • Administrator for skyprogram

Hvis du vil ha mer informasjon om hvordan du registrerer Microsoft Entra programmet, kan du se Registrere et program.

Når du har registrert programmet, registrerer du programmets (klient)-ID fra programmets Oversikt-fane .

Tilordne en rolle til programmet

Opplastingen av API-en inntar objekter for trusselintelligens på arbeidsområdenivå og krever rollen som Microsoft Sentinel bidragsyter.

  1. Gå til Log Analytics-arbeidsområder fra Azure Portal.

  2. Velg Tilgangskontroll (IAM).

  3. Velg Legg til legg til>rolletildeling.

  4. Velg rollen Microsoft Sentinel bidragsyterRolle-fanen, og velg deretter Neste.

  5. Velg Tilordne tilgang til>bruker, gruppe eller tjenestekontohaverMedlemmer-fanen.

  6. Velg medlemmer. Som standard vises ikke Microsoft Entra programmer i de tilgjengelige alternativene. Søk etter programmet etter navn for å finne programmet.

    Skjermbilde som viser rollen Microsoft Sentinel bidragsyter tilordnet til programmet på arbeidsområdenivå.

  7. Velg Se gjennom + tilordne.

Hvis du vil ha mer informasjon om hvordan du tilordner roller til programmer, kan du se Tilordne en rolle til programmet.

Konfigurer løsningen for trusselintelligensplattformen eller egendefinert program

Følgende konfigurasjonsinformasjon kreves av opplastings-API-en:

  • Program-ID (klient)
  • Microsoft Entra tilgangstoken med OAuth 2.0-godkjenning
  • Microsoft Sentinel arbeidsområde-ID

Angi disse verdiene i konfigurasjonen av det integrerte tipset eller den egendefinerte løsningen der det er nødvendig.

  1. Send inn trusselintelligensen til opplastings-API-en. Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel laste opp API.
  2. I løpet av få minutter skal trusselintelligensobjekter begynne å strømme inn i Microsoft Sentinel arbeidsområdet. Finn de nye STIX-objektene på trusselintelligenssiden, som er tilgjengelig fra Microsoft Sentinel-menyen.

Beslektet innhold

I denne artikkelen lærte du hvordan du kobler tipset til Microsoft Sentinel. Hvis du vil lære mer om hvordan du bruker trusselintelligens i Microsoft Sentinel, kan du se følgende artikler:

  • Last updated on