Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Примечание.
Этот соединитель данных будет нерекомендуем и прекратит сбор данных в июне 2026 г. Рекомендуется как можно скорее перейти на новый соединитель данных API индикаторов отправки аналитики угроз, чтобы обеспечить непрерывный сбор данных. Дополнительные сведения см. в статье Подключение платформы аналитики угроз к Microsoft Sentinel с помощью API отправки.
Многие организации используют решения платформы аналитики угроз (TIP) для агрегирования каналов индикаторов угроз из различных источников. Из агрегированного веб-канала данные курируются для применения к решениям безопасности, таким как сетевые устройства, решения EDR/XDR или решения для управления информационной безопасностью и событиями безопасности (SIEM), такие как Microsoft Sentinel. С помощью соединителя данных TIP эти решения можно использовать для импорта индикаторов угроз в Microsoft Sentinel.
Так как соединитель данных TIP работает с API tiIndicators Microsoft Graph Security для выполнения этого процесса, вы можете использовать соединитель для отправки индикаторов в Microsoft Sentinel (и в другие решения безопасности Майкрософт, такие как Defender XDR) из любого другого пользовательского tip, который может взаимодействовать с этим API.
Примечание.
Сведения о доступности функций в облаках для государственных организаций США см. в Microsoft Sentinel таблицах доступности облачных функций для клиентов из государственных организаций США.
Узнайте больше об аналитике угроз в Microsoft Sentinel и, в частности, о продуктах TIP, которые можно интегрировать с Microsoft Sentinel.
Важно!
После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Предварительные условия
- Чтобы установить, обновить и удалить автономное содержимое или решения в центре содержимого, вам потребуется роль участника Microsoft Sentinel на уровне группы ресурсов.
- Чтобы предоставить разрешения продукту TIP или любому другому пользовательскому приложению, использующим прямую интеграцию с API индикаторов TI Microsoft Graph, необходимо иметь роль администратора безопасности Microsoft Entra или эквивалентные разрешения.
- Для хранения индикаторов угроз необходимо иметь разрешения на чтение и запись в рабочей области Microsoft Sentinel.
Инструкции
Чтобы импортировать индикаторы угроз в Microsoft Sentinel из интегрированного решения TIP или пользовательского решения для аналитики угроз, выполните следующие действия.
- Получите идентификатор приложения и секрет клиента из Microsoft Entra ID.
- Введите эти сведения в решение TIP или пользовательское приложение.
- Включите соединитель данных TIP в Microsoft Sentinel.
Зарегистрируйтесь для получения идентификатора приложения и секрета клиента из Microsoft Entra ID
Независимо от того, работаете ли вы с подсказкой или пользовательским решением, API tiIndicators требует некоторых основных сведений, чтобы вы могли подключить к нему веб-канал и отправить ему индикаторы угроз. Вам потребуется следующее:
- Идентификатор приложения (клиента)
- Идентификатор каталога (клиента)
- Секрет клиента
Эти сведения можно получить от Microsoft Entra ID с помощью регистрации приложения, которая включает в себя следующие три шага:
- Зарегистрируйте приложение с помощью Microsoft Entra ID.
- Укажите разрешения, необходимые приложению для подключения к API tiIndicators Microsoft Graph и отправки индикаторов угроз.
- Получите согласие вашей организации на предоставление этих разрешений этому приложению.
Регистрация приложения с помощью Microsoft Entra ID
В портал Azure перейдите к Microsoft Entra ID.
В меню выберите Регистрация приложений, а затем — Новая регистрация.
Выберите имя для регистрации приложения, выберите Один клиент, а затем — Зарегистрировать.
На открываемом экране скопируйте значения идентификатора приложения (клиента) и идентификатора каталога (клиента). Эти два элемента потребуются позже, чтобы настроить подсказку или пользовательское решение для отправки индикаторов угроз в Microsoft Sentinel. Третий фрагмент необходимой информации, секрет клиента, приходит позже.
Укажите разрешения, необходимые приложению
Назад на главную страницу Microsoft Entra ID.
В меню выберите Регистрация приложений, а затем выберите только что зарегистрированное приложение.
В меню выберите Разрешения> APIДобавить разрешение.
На странице Выбор API выберите API Microsoft Graph . Затем выберите разрешения Microsoft Graph из списка.
В командной строке Какой тип разрешений требуется приложению? выберите Разрешения приложения. Это разрешение является типом, используемым приложениями, которые проходят проверку подлинности с помощью идентификатора приложения и секретов приложения (ключей API).
Выберите ThreatIndicators.ReadWrite.OwnedBy, а затем выберите Добавить разрешения , чтобы добавить это разрешение в список разрешений приложения.
Получите согласие вашей организации на предоставление этих разрешений
Для предоставления согласия требуется привилегированная роль. Дополнительные сведения см. в разделе Предоставление согласия администратора на уровне клиента приложению.
После предоставления согласия приложению вы увидите зеленый проверка метку в разделе Состояние.
После регистрации приложения и предоставления разрешений необходимо получить секрет клиента для приложения.
Назад на главную страницу Microsoft Entra ID.
В меню выберите Регистрация приложений, а затем выберите только что зарегистрированное приложение.
В меню выберите Сертификаты & секреты. Затем выберите Новый секрет клиента , чтобы получить секрет (ключ API) для приложения.
Выберите Добавить, а затем скопируйте секрет клиента.
Важно!
Прежде чем покинуть этот экран, необходимо скопировать секрет клиента. Вы не сможете получить этот секрет снова, если уйдете с этой страницы. Это значение требуется при настройке tip или настраиваемого решения.
Ввод этих сведений в решение TIP или пользовательское приложение
Теперь у вас есть все три элемента информации, необходимые для настройки tip или настраиваемого решения для отправки индикаторов угроз в Microsoft Sentinel:
- Идентификатор приложения (клиента)
- Идентификатор каталога (клиента)
- Секрет клиента
При необходимости введите эти значения в конфигурацию интегрированного решения TIP или пользовательского решения.
Для целевого продукта укажите Azure Sentinel. (Указание Microsoft Sentinel приводит к ошибке.)
Для действия укажите оповещение.
После завершения настройки индикаторы угроз отправляются из tip или пользовательского решения через API tiIndicators Microsoft Graph, предназначенный для Microsoft Sentinel.
Включение соединителя данных TIP в Microsoft Sentinel
Последним шагом в процессе интеграции является включение соединителя данных TIP в Microsoft Sentinel. Включение соединителя позволяет Microsoft Sentinel получать индикаторы угроз, отправленные из подсказки или пользовательского решения. Эти индикаторы доступны для всех Microsoft Sentinel рабочих областей вашей организации. Чтобы включить соединитель данных TIP для каждой рабочей области, выполните следующие действия.
Для Microsoft Sentinel в портал Azure в разделе Управление содержимым выберите Центр содержимого.
Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Центр содержимого управления> Клиентами.Найдите и выберите решение Аналитика угроз .
Нажмите кнопку
Установка и обновление .Дополнительные сведения об управлении компонентами решения см. в статье Обнаружение и развертывание готового содержимого.
Чтобы настроить соединитель данных TIP, выберитеСоединители данных конфигурации>.
Найдите и выберите соединитель данных Threat Intelligence Platform — BEING DEPRECATED , а затем выберите Открыть страницу соединителя.
Так как вы уже завершили регистрацию приложения и настроили подсказку или настраиваемое решение для отправки индикаторов угроз, остается только выбрать подключиться.
Через несколько минут индикаторы угроз должны начать поступать в эту рабочую область Microsoft Sentinel. Новые индикаторы можно найти на панели Аналитика угроз, доступ к которой можно получить из меню Microsoft Sentinel.
Связанные материалы
Из этой статьи вы узнали, как подключить tip к Microsoft Sentinel с помощью метода в пути для устаревания. Сведения о подключении tip с помощью рекомендуемого метода см. в статье Подключение tip с помощью API отправки.
- Узнайте, как получить представление о данных и потенциальных угрозах.
- Приступая к обнаружению угроз с помощью Microsoft Sentinel.