Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Veel organisaties gebruiken oplossingen van het platform voor bedreigingsinformatie (TIP) om feeds van bedreigingsinformatie uit verschillende bronnen te aggregeren. Vanuit de geaggregeerde feed worden de gegevens gecureerd om toe te passen op beveiligingsoplossingen zoals netwerkapparaten, EDR-/XDR-oplossingen of SIEM-oplossingen (Security Information and Event Management), zoals Microsoft Sentinel. De industriestandaard voor het beschrijven van cyberdreigingsinformatie wordt 'Structured Threat Information Expression' of STIX genoemd. Met behulp van de upload-API die STIX-objecten ondersteunt, gebruikt u een meer expressieve manier om bedreigingsinformatie te importeren in Microsoft Sentinel.
De upload-API neemt bedreigingsinformatie op in Microsoft Sentinel zonder dat er een gegevensconnector nodig is. In dit artikel wordt beschreven wat u nodig hebt om verbinding te maken. Zie het referentiedocument Microsoft Sentinel api uploaden voor meer informatie over de API-details.
Zie Bedreigingsinformatie voor meer informatie over bedreigingsinformatie.
Belangrijk
De Microsoft Sentinel api voor het uploaden van bedreigingsinformatie is in preview. Zie de Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor meer juridische voorwaarden die van toepassing zijn op Azure functies die in bètaversie, preview of anderszins nog niet algemeen beschikbaar zijn.
Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal. Vanaf juli 2025 worden veel nieuwe klanten automatisch onboarding uitgevoerd en omgeleid naar de Defender-portal.
Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden. Zie It's Time to Move: De Azure Portal van Microsoft Sentinel wordt buiten gebruik gesteld voor meer informatie voor meer informatie.
Opmerking
Zie voor informatie over de beschikbaarheid van functies in clouds van de Amerikaanse overheid de Microsoft Sentinel tabellen in Beschikbaarheid van cloudfuncties voor klanten van de Amerikaanse overheid.
Vereisten
- U moet lees- en schrijfmachtigingen hebben voor de Microsoft Sentinel werkruimte om uw STIX-objecten voor bedreigingsinformatie op te slaan.
- U moet een Microsoft Entra-toepassing kunnen registreren.
- Aan uw Microsoft Entra-toepassing moet de rol Microsoft Sentinel inzender op werkruimteniveau worden toegekend.
Instructies
Volg deze stappen om STIX-objecten voor bedreigingsinformatie te importeren in Microsoft Sentinel van uw geïntegreerde TIP- of aangepaste oplossing voor bedreigingsinformatie:
- Registreer een Microsoft Entra toepassing en noteer vervolgens de toepassings-id.
- Genereer en noteer een clientgeheim voor uw Microsoft Entra toepassing.
- Wijs uw Microsoft Entra toepassing de rol Microsoft Sentinel Inzender of het equivalent toe.
- Configureer uw TIP-oplossing of aangepaste toepassing.
Een Microsoft Entra-toepassing registreren
Met de standaardmachtigingen voor gebruikersrollen kunnen gebruikers toepassingsregistraties maken. Als deze instelling is gewijzigd in Nee, hebt u toestemming nodig om toepassingen in Microsoft Entra te beheren. Een van de volgende Microsoft Entra rollen bevat de vereiste machtigingen:
- Toepassingsbeheerder
- Toepassingsontwikkelaar
- Cloudtoepassingsbeheerder
Zie Een toepassing registreren voor meer informatie over het registreren van uw Microsoft Entra-toepassing.
Nadat u uw toepassing hebt geregistreerd, registreert u de toepassings-id (client) op het tabblad Overzicht van de toepassing.
Een rol toewijzen aan de toepassing
De upload-API neemt bedreigingsinformatieobjecten op het niveau van de werkruimte op en vereist de rol van Microsoft Sentinel Inzender.
Ga vanuit de Azure Portal naar Log Analytics-werkruimten.
Selecteer Toegangsbeheer (IAM).
Selecteer Roltoewijzing toevoegen>.
Selecteer op het tabblad Rol de Microsoft Sentinel rol Inzender en selecteer vervolgens Volgende.
Selecteer op het tabblad Ledende optie Toegang toewijzen aan>gebruiker, groep of service-principal.
Selecteer leden. Standaard worden Microsoft Entra toepassingen niet weergegeven in de beschikbare opties. Als u uw toepassing wilt vinden, zoekt u deze op naam.
Selecteer Beoordelen en toewijzen.
Zie Een rol toewijzen aan de toepassing voor meer informatie over het toewijzen van rollen aan toepassingen.
Uw oplossing voor bedreigingsinformatieplatform of aangepaste toepassing configureren
De volgende configuratiegegevens zijn vereist voor de upload-API:
- Toepassings-id (client)
- Microsoft Entra toegangstoken met OAuth 2.0-verificatie
- Microsoft Sentinel werkruimte-id
Voer deze waarden waar nodig in de configuratie van uw geïntegreerde TIP of aangepaste oplossing in.
- Verzend de bedreigingsinformatie naar de upload-API. Zie Microsoft Sentinel api uploaden voor meer informatie.
- Binnen een paar minuten moeten bedreigingsinformatieobjecten naar uw Microsoft Sentinel werkruimte stromen. Zoek de nieuwe STIX-objecten op de pagina Bedreigingsinformatie, die toegankelijk is vanuit het menu Microsoft Sentinel.
Verwante onderwerpen
In dit artikel hebt u geleerd hoe u uw TIP koppelt aan Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over het gebruik van bedreigingsinformatie in Microsoft Sentinel:
- Inzicht in bedreigingsinformatie.
- Werken met bedreigingsindicatoren gedurende de hele Microsoft Sentinel ervaring.
- Ga aan de slag met het detecteren van bedreigingen met ingebouwde of aangepaste analyseregels in Microsoft Sentinel.