Соединитель API индикаторов отправки угроз (предварительная версия) для Microsoft Sentinel
Microsoft Sentinel предлагает API плоскости данных для привлечения аналитики угроз из платформы аналитики угроз (TIP), например Threat Connect, Palo Alto Networks MineMeld, MISP или других интегрированных приложений. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса, хэши файлов и адреса электронной почты. Дополнительные сведения см. в документации по Microsoft Sentinel.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | ThreatIntelligenceIndicator |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
Все индикаторы API аналитики угроз
ThreatIntelligenceIndicator
| where SourceSystem !in ('SecurityGraph', 'Azure Sentinel', 'Microsoft Sentinel')
| sort by TimeGenerated desc
Инструкции по установке поставщика
Чтобы подключить источники данных аналитики угроз к Microsoft Sentinel, используйте один из следующих способов.
Использование интегрированной платформы аналитики угроз (TIP), например Threat Connect, Palo Alto Networks MineMeld, MISP и других.
Вызов API плоскости данных Microsoft Sentinel непосредственно из другого приложения.
- Примечание. Состояние соединителя не будет отображаться как "Подключено" здесь, так как данные будут приниматься путем вызова API.
Выполните следующие действия, чтобы подключиться к аналитике угроз.
- Получение маркера доступа к идентификаторам Microsoft Entra
[concat('Чтобы отправить запрос в API, необходимо получить маркер доступа Azure Active Directory. Инструкции можно выполнить на этой странице: /azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token
- Обратите внимание: запросите маркер доступа AAD со значением области: ', переменные('management'), '.default')]
- Отправка индикаторов в Sentinel
Вы можете отправлять индикаторы, вызвав API индикаторов отправки. Дополнительные сведения об API см . здесь.
Метод HTTP: POST
Конечная точка:
https://api.ti.sentinel.azure.com/workspaces/[WorkspaceID]/threatintelligenceindicators:upload?api-version=2022-07-01
WorkspaceID: рабочая область, в которую отправляются индикаторы.
Значение заголовка 1: "Authorization" = "Bearer [Маркер доступа идентификатора Microsoft Entra ID из шага 1]"
Значение заголовка 2: Content-Type = application/json
Текст: текст — это объект JSON, содержащий массив индикаторов в формате STIX.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.