Connector „Threat Intelligence – API zum Hochladen (Vorschau)“ für Microsoft Sentinel
Microsoft Sentinel bietet eine API auf Datenebene, um Threat Intelligence einer Threat Intelligence-Plattform (TIP) wie Threat Connect, Palo Alto Networks MineMeld oder MISP oder aus anderen integrierten Anwendungen zu erfassen. Bedrohungsindikatoren können IP-Adressen, Domänen, URLs, Dateihashes und E-Mail-Adressen umfassen. Weitere Informationen finden Sie in der Dokumentation zu Microsoft Sentinel.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
Connectorattribut | BESCHREIBUNG |
---|---|
Log Analytics-Tabellen | ThreatIntelligenceIndicator |
Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
Unterstützt von | Microsoft Corporation |
Abfragebeispiele
Alle Indikatoren von Threat Intelligence-APIs
ThreatIntelligenceIndicator
| where SourceSystem !in ('SecurityGraph', 'Azure Sentinel', 'Microsoft Sentinel')
| sort by TimeGenerated desc
Installationsanweisungen des Anbieters
Sie können Ihre Threat Intelligence-Datenquellen wie folgt mit Microsoft Sentinel verbinden:
Durch Verwenden einer integrierten Threat Intelligence-Plattform (TIP) wie Threat Connect, Palo Alto Networks MineMeld oder MISP
Durch direktes Aufrufen der Microsoft Sentinel-Datenebenen-API über eine andere Anwendung
- Hinweis: Der „Status“ des Connectors wird hier nicht als „Verbunden“ angezeigt, da die Daten durch einen API-Aufruf erfasst werden.
Führen Sie die folgenden Schritte aus, um eine Verbindung mit Threat Intelligence herzustellen:
- Abrufen eines Microsoft Entra ID-Zugriffstokens
[concat('Um Anforderungen an die APIs senden zu können, müssen Sie ein Azure Active Directory-Zugriffstoken abrufen. Sie können die Anweisungen auf dieser Seite befolgen: /azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token
- Hinweis: Fordern Sie das AAD-Zugriffstoken mit dem folgenden Bereichswert an: ', variables('management'), '.default')]
- Senden von STIX-Objekten an Sentinel
Sie können die unterstützten STIX-Objekttypen senden, indem Sie die API zum Hochladen aufrufen. Für weitere Informationen zur API klicken Sie hier.
HTTP-Methode: POST
WorkspaceID: Der Arbeitsbereich, in den die STIX-Objekte hochgeladen werden.
Headerwert 1: "Authorization" = "Bearer [Microsoft Entra ID-Zugriffstoken aus Schritt 1]"
Headerwert 2: "Content-Type" = "application/json"
Text: Der Text ist ein JSON-Objekt, das ein Array von STIX-Objekten enthält.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.