Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Många organisationer använder tip-lösningar (Threat Intelligence Platform) för att aggregera hotinformationsflöden från olika källor. Från det aggregerade flödet kureras data för säkerhetslösningar som nätverksenheter, EDR/XDR-lösningar eller SIEM-lösningar (säkerhetsinformation och händelsehantering), till exempel Microsoft Sentinel. Branschstandarden för att beskriva cyberhotinformation kallas "Structured Threat Information Expression" eller STIX. Genom att använda uppladdnings-API:et som stöder STIX-objekt använder du ett mer uttrycksfullt sätt att importera hotinformation till Microsoft Sentinel.
Uppladdnings-API:et matar in hotinformation i Microsoft Sentinel utan att behöva en dataanslutning. Den här artikeln beskriver vad du behöver för att ansluta. Mer information om API:et finns i referensdokumentet Microsoft Sentinel ladda upp API.
Mer information om hotinformation finns i Hotinformation.
Viktigt
UPPladdnings-API:et för Microsoft Sentinel hotinformation finns i förhandsversionen. Mer juridiska villkor som gäller för Azure funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet finns i kompletterande användningsvillkor för Microsoft Azure förhandsversioner.
Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen. Från och med juli 2025 registreras och omdirigeras många nya kunder automatiskt till Defender-portalen.
Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender. Mer information finns i It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Det är dags att flytta: Dra tillbaka Microsoft Sentinel är Azure Portal för ökad säkerhet).
Obs!
Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Tillgänglighet för molnfunktioner för amerikanska myndighetskunder.
Förhandskrav
- Du måste ha läs- och skrivbehörighet till Microsoft Sentinel-arbetsytan för att lagra STIX-objekt för hotinformation.
- Du måste kunna registrera ett Microsoft Entra program.
- Ditt Microsoft Entra-program måste beviljas rollen Microsoft Sentinel deltagare på arbetsytenivå.
Instruktioner
Följ dessa steg för att importera STIX-objekt för hotinformation till Microsoft Sentinel från din integrerade TIP- eller anpassad hotinformationslösning:
- Registrera ett Microsoft Entra program och registrera sedan dess program-ID.
- Generera och registrera en klienthemlighet för ditt Microsoft Entra program.
- Tilldela Microsoft Entra-programmet rollen Microsoft Sentinel Deltagare eller motsvarande.
- Konfigurera din TIP-lösning eller anpassade program.
Registrera ett Microsoft Entra program
Med standardbehörigheter för användarroller kan användare skapa programregistreringar. Om den här inställningen har växlats till Nej behöver du behörighet att hantera program i Microsoft Entra. Någon av följande Microsoft Entra roller innehåller de behörigheter som krävs:
- Programadministratör
- Programutvecklare
- Molnprogramadministratör
Mer information om hur du registrerar ditt Microsoft Entra-program finns i Registrera ett program.
När du har registrerat ditt program registrerar du programmets (klientens) ID från programmets översiktsflik .
Tilldela en roll till programmet
Uppladdnings-API:et matar in hotinformationsobjekt på arbetsytenivå och kräver rollen som Microsoft Sentinel deltagare.
Från Azure Portal går du till Log Analytics-arbetsytor.
Välj Åtkomstkontroll (IAM).
Välj Lägg tilllägg till >rolltilldelning.
På fliken Roll väljer du rollen Microsoft Sentinel deltagare och väljer sedan Nästa.
På fliken Medlemmar väljer du Tilldela åtkomst till>Användare, grupp eller tjänstens huvudnamn.
Välj medlemmar. Som standard visas inte Microsoft Entra program i de tillgängliga alternativen. Om du vill hitta ditt program söker du efter det efter namn.
Välj Granska + tilldela.
Mer information om hur du tilldelar roller till program finns i Tilldela en roll till programmet.
Konfigurera din lösning för hotinformationsplattformen eller ditt anpassade program
Följande konfigurationsinformation krävs av uppladdnings-API:et:
- Program-ID (klient)
- Microsoft Entra åtkomsttoken med OAuth 2.0-autentisering
- Microsoft Sentinel arbetsyte-ID
Ange dessa värden i konfigurationen av den integrerade TIP-lösningen eller den anpassade lösningen där det behövs.
- Skicka hotinformationen till uppladdnings-API:et. Mer information finns i Microsoft Sentinel ladda upp API.
- Inom några minuter bör hotinformationsobjekt börja flöda till din Microsoft Sentinel arbetsyta. Hitta de nya STIX-objekten på sidan Hotinformation, som är tillgänglig från Microsoft Sentinel-menyn.
Relaterat innehåll
I den här artikeln har du lärt dig hur du ansluter tipset till Microsoft Sentinel. Mer information om hur du använder hotinformation i Microsoft Sentinel finns i följande artiklar:
- Förstå hotinformation.
- Arbeta med hotindikatorer under hela Microsoft Sentinel erfarenhet.
- Kom igång med att identifiera hot med inbyggda eller anpassade analysregler i Microsoft Sentinel.