Подключение платформы аналитики угроз к Microsoft Sentinel с помощью API отправки (предварительная версия)

Многие организации используют решения платформы аналитики угроз (TIP) для агрегирования каналов аналитики угроз из различных источников. Из агрегированного веб-канала данные курируются для применения к решениям безопасности, таким как сетевые устройства, решения EDR/XDR или решения для управления информационной безопасностью и событиями безопасности (SIEM), такие как Microsoft Sentinel. Отраслевой стандарт для описания информации о киберугрозах называется "Структурированное выражение информации об угрозах" или STIX. С помощью API отправки, который поддерживает объекты STIX, вы используете более выразительный способ импорта аналитики угроз в Microsoft Sentinel.

API отправки отправляет аналитику угроз в Microsoft Sentinel без необходимости использования соединителя данных. В этой статье описано, что необходимо для подключения. Дополнительные сведения об API см. в справочном документе Microsoft Sentinel API отправки.

Снимок экрана: путь импорта аналитики угроз.

Дополнительные сведения об аналитике угроз см. в разделе Аналитика угроз.

Важно!

API Microsoft Sentinel отправки аналитики угроз находится в предварительной версии. Дополнительные условия использования для предварительных версий Microsoft Azure см. в статье Дополнительные условия использования, применимые к Azure функциям, которые находятся в бета-версии, предварительной версии или еще не выпущены в общедоступную версию.

После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 г. многие новые клиенты автоматически подключены и перенаправляются на портал Defender.

Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье Время перемещения: портал Azure списания Microsoft Sentinel для повышения безопасности.

Примечание.

Сведения о доступности функций в облаках для государственных организаций США см. в Microsoft Sentinel таблицах доступности облачных функций для клиентов из государственных организаций США.

Предварительные условия

  • Для хранения объектов STIX аналитики угроз необходимо иметь разрешения на чтение и запись в рабочей области Microsoft Sentinel.
  • Вы должны иметь возможность зарегистрировать приложение Microsoft Entra.
  • Приложению Microsoft Entra должна быть предоставлена роль участника Microsoft Sentinel на уровне рабочей области.

Инструкции

Выполните следующие действия, чтобы импортировать объекты STIX аналитики угроз в Microsoft Sentinel из интегрированного решения TIP или пользовательского решения для аналитики угроз.

  1. Зарегистрируйте приложение Microsoft Entra, а затем запишите его идентификатор приложения.
  2. Создайте и запишите секрет клиента для приложения Microsoft Entra.
  3. Назначьте приложению Microsoft Entra роль участника Microsoft Sentinel или эквивалент.
  4. Настройте решение TIP или пользовательское приложение.

Регистрация приложения Microsoft Entra

Разрешения роли пользователей по умолчанию позволяют пользователям создавать регистрации приложений. Если для этого параметра задано значение Нет, вам потребуется разрешение на управление приложениями в Microsoft Entra. Любая из следующих ролей Microsoft Entra включает необходимые разрешения:

  • Администратор приложений
  • Разработчик приложения
  • Администратор облачных приложений

Дополнительные сведения о регистрации приложения Microsoft Entra см. в разделе Регистрация приложения.

После регистрации приложения запишите его идентификатор приложения (клиента) на вкладке Обзор приложения.

Назначение роли приложению

API отправки приема объектов аналитики угроз на уровне рабочей области и требует роли участника Microsoft Sentinel.

  1. В портал Azure перейдите к рабочим областям Log Analytics.

  2. Выберите Управление доступом (IAM).

  3. Нажмите кнопку Добавить>Добавить назначение ролей.

  4. На вкладке Роль выберите роль Microsoft Sentinel Участник, а затем нажмите кнопку Далее.

  5. На вкладке Участники выберите Назначить доступ пользователю>, группе или субъекту-службе.

  6. Выберите участников. По умолчанию Microsoft Entra приложения не отображаются в доступных параметрах. Чтобы найти приложение, найдите его по имени.

    Снимок экрана: роль участника Microsoft Sentinel, назначенная приложению на уровне рабочей области.

  7. Щелкните Проверить и назначить.

Дополнительные сведения о назначении ролей приложениям см. в статье Назначение роли приложению.

Настройка решения для платформы аналитики угроз или пользовательского приложения

API отправки требует следующие сведения о конфигурации:

При необходимости введите эти значения в конфигурацию интегрированного решения TIP или пользовательского решения.

  1. Отправьте аналитику угроз в API отправки. Дополнительные сведения см. в разделе API отправки Microsoft Sentinel.
  2. Через несколько минут объекты аналитики угроз должны начать поступать в рабочую область Microsoft Sentinel. Найдите новые объекты STIX на странице Аналитика угроз, которая доступна в меню Microsoft Sentinel.

Из этой статьи вы узнали, как подключить tip к Microsoft Sentinel. Дополнительные сведения об использовании аналитики угроз в Microsoft Sentinel см. в следующих статьях: