Uw bedreigingsinformatieplatform verbinden met Microsoft Sentinel

Veel organisaties gebruiken oplossingen van het platform voor bedreigingsinformatie (TIP) om feeds van bedreigingsindicatoren uit verschillende bronnen te aggregeren. Vanuit de geaggregeerde feed worden de gegevens gecureerd om toe te passen op beveiligingsoplossingen zoals netwerkapparaten, EDR-/XDR-oplossingen of SIEM-oplossingen (Security Information and Event Management), zoals Microsoft Sentinel. Met behulp van de TIP-gegevensconnector kunt u deze oplossingen gebruiken om bedreigingsindicatoren te importeren in Microsoft Sentinel.

Omdat de TIP-gegevensconnector werkt met de TiIndicators-API van Microsoft Graph Security om dit proces uit te voeren, kunt u de connector gebruiken om indicatoren te verzenden naar Microsoft Sentinel (en naar andere Microsoft-beveiligingsoplossingen zoals Defender XDR) vanuit andere aangepaste TIP die met die API kan communiceren.

Meer informatie over bedreigingsinformatie in Microsoft Sentinel en met name over de TIP-producten die u kunt integreren met Microsoft Sentinel.

Vereisten

• Als u zelfstandige inhoud of oplossingen in de hub Inhoud wilt installeren, bijwerken en verwijderen, hebt u de rol Microsoft Sentinel Inzender op het niveau van de resourcegroep nodig.
• Als u machtigingen wilt verlenen aan uw TIP-product of een andere aangepaste toepassing die gebruikmaakt van directe integratie met de Microsoft Graph TI Indicators-API, moet u de rol Beveiligingsbeheerder Microsoft Entra of de gelijkwaardige machtigingen hebben.
• Als u uw bedreigingsindicatoren wilt opslaan, moet u lees- en schrijfmachtigingen hebben voor de Microsoft Sentinel-werkruimte.

Instructies

Als u bedreigingsindicatoren wilt importeren in Microsoft Sentinel vanuit uw geïntegreerde TIP- of aangepaste oplossing voor bedreigingsinformatie, voert u de volgende stappen uit:

1. Haal een toepassings-id en clientgeheim op van Microsoft Entra ID.
2. Voer deze informatie in uw TIP-oplossing of aangepaste toepassing in.
3. Schakel de TIP-gegevensconnector in Microsoft Sentinel in.

Registreren voor een toepassings-id en clientgeheim van Microsoft Entra ID

Of u nu met een TIP of een aangepaste oplossing werkt, de tiIndicators-API vereist enkele basisinformatie zodat u uw feed eraan kunt koppelen en bedreigingsindicatoren kunt verzenden. De drie stukjes informatie die u nodig hebt, zijn:

• Toepassings-id (client)
• Map-id (tenant)
• Clientgeheim

U kunt deze informatie ophalen uit Microsoft Entra ID via app-registratie, die de volgende drie stappen omvat:

• Een app registreren bij Microsoft Entra ID.
• Geef de machtigingen op die vereist zijn voor de app om verbinding te maken met de Microsoft Graph tiIndicators-API en bedreigingsindicatoren te verzenden.
• Vraag toestemming van uw organisatie om deze machtigingen aan deze toepassing te verlenen.

Een toepassing registreren bij Microsoft Entra ID

1. Ga in de Azure Portal naar Microsoft Entra ID.

2. Selecteer app-registraties in het menu en selecteer vervolgens Nieuwe registratie.

3. Kies een naam voor uw toepassingsregistratie, selecteer Enkele tenant en selecteer vervolgens Registreren.

   

4. Kopieer op het scherm dat wordt geopend de waarden toepassings-id (client) en map-id (tenant). U hebt deze twee gegevens later nodig om uw TIP of aangepaste oplossing te configureren voor het verzenden van bedreigingsindicatoren naar Microsoft Sentinel. Het derde stukje informatie dat u nodig hebt, het clientgeheim, komt later.

Geef de machtigingen op die vereist zijn voor de toepassing

1. Terug naar de hoofdpagina van Microsoft Entra ID.

2. Selecteer app-registraties in het menu en selecteer vervolgens uw zojuist geregistreerde app.

3. Selecteer in het menu API-machtigingen>Een machtiging toevoegen.

4. Selecteer op de pagina Een API selecteren de Microsoft Graph API. Kies vervolgens uit een lijst met Microsoft Graph-machtigingen.

5. Selecteer toepassingsmachtigingen bij de prompt Welk type machtigingen heeft uw toepassing nodig?. Deze machtiging is het type dat wordt gebruikt door toepassingen die zich verifiëren met app-id en app-geheimen (API-sleutels).

6. Selecteer ThreatIndicators.ReadWrite.OwnedBy en selecteer vervolgens Machtigingen toevoegen om deze machtiging toe te voegen aan de lijst met machtigingen van uw app.

   

Toestemming krijgen van uw organisatie om deze machtigingen te verlenen

1. Voor het verlenen van toestemming is een bevoorrechte rol vereist. Zie Tenantbrede beheerderstoestemming verlenen aan een toepassing voor meer informatie.

   

2. Nadat toestemming is verleend aan uw app, ziet u een groen vinkje onder Status.

Nadat uw app is geregistreerd en machtigingen zijn verleend, moet u een clientgeheim voor uw app ophalen.

1. Terug naar de hoofdpagina van Microsoft Entra ID.

2. Selecteer app-registraties in het menu en selecteer vervolgens uw zojuist geregistreerde app.

3. Selecteer certificaten & geheimen in het menu. Selecteer vervolgens Nieuw clientgeheim om een geheim (API-sleutel) voor uw app te ontvangen.

   

4. Selecteer Toevoegen en kopieer vervolgens het clientgeheim.

   Belangrijk

   U moet het clientgeheim kopiëren voordat u dit scherm verlaat. U kunt dit geheim niet meer ophalen als u van deze pagina weggaat. U hebt deze waarde nodig wanneer u uw TIP of aangepaste oplossing configureert.

Voer deze informatie in uw TIP-oplossing of aangepaste toepassing in

U hebt nu alle drie de gegevens die u nodig hebt om uw TIP of aangepaste oplossing te configureren om bedreigingsindicatoren te verzenden naar Microsoft Sentinel:

• Toepassings-id (client)
• Map-id (tenant)
• Clientgeheim

Voer deze waarden waar nodig in de configuratie van uw geïntegreerde TIP of aangepaste oplossing in.

1. Geef voor het doelproduct Azure Sentinel op. (Het opgeven van Microsoft Sentinel resulteert in een fout.)

2. Geef waarschuwing op voor de actie.

Nadat de configuratie is voltooid, worden bedreigingsindicatoren verzonden vanuit uw TIP of aangepaste oplossing, via de Microsoft Graph tiIndicators-API, gericht op Microsoft Sentinel.

De TIP-gegevensconnector inschakelen in Microsoft Sentinel

De laatste stap in het integratieproces is het inschakelen van de TIP-gegevensconnector in Microsoft Sentinel. Door de connector in te schakelen, kunnen Microsoft Sentinel de bedreigingsindicatoren ontvangen die worden verzonden vanuit uw TIP of aangepaste oplossing. Deze indicatoren zijn beschikbaar voor alle Microsoft Sentinel werkruimten voor uw organisatie. Voer de volgende stappen uit om de TIP-gegevensconnector voor elke werkruimte in te schakelen:

1. Voor Microsoft Sentinel in de Azure Portal selecteert u onder Inhoudsbeheerde optie Inhoudshub.
   Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Hub Inhoudsbeheer>.

2. Zoek en selecteer de oplossing Bedreigingsinformatie .

3. Selecteer de knop Installeren/bijwerken.

   Zie Out-of-the-Box-inhoud detecteren en implementeren voor meer informatie over het beheren van de oplossingsonderdelen.

4. Als u de TIP-gegevensconnector wilt configureren, selecteert uConfiguratiegegevensconnectors>.

5. Zoek en selecteer de gegevensconnector Threat Intelligence Platforms - BEING DEPRECATED en selecteer vervolgens De pagina Connector openen.

6. Omdat u de app-registratie al hebt voltooid en uw TIP of aangepaste oplossing hebt geconfigureerd om bedreigingsindicatoren te verzenden, is de enige stap over om Verbinding maken te selecteren.

Binnen een paar minuten zouden bedreigingsindicatoren naar deze Microsoft Sentinel werkruimte moeten stromen. U vindt de nieuwe indicatoren in het deelvenster Bedreigingsinformatie, dat u kunt openen via het menu Microsoft Sentinel.

Verwante onderwerpen

In dit artikel hebt u geleerd hoe u uw TIP kunt verbinden met Microsoft Sentinel met behulp van een methode op pad voor afschaffing. Zie Uw TIP verbinden met de upload-API om verbinding te maken met uw TIP met behulp van de aanbevolen methode.

• Meer informatie over het verkrijgen van inzicht in uw gegevens en mogelijke bedreigingen.
• Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.