Conectar sua plataforma de inteligência contra ameaças ao Microsoft Sentinel

Muitas organizações usam soluções de plataforma de inteligência contra ameaças (TIP) para agregar feeds de indicadores de ameaças de várias fontes. A partir do feed agregado, os dados são selecionados para serem aplicados a soluções de segurança, como dispositivos de rede, soluções de EDR/XDR ou soluções de gerenciamento de eventos e informações de segurança (SIEM), como o Microsoft Sentinel. Ao usar o conector de dados TIP, você pode usar essas soluções para importar indicadores de ameaça para o Microsoft Sentinel.

Como o conector de dados TIP funciona com a API tiIndicators de Segurança do Microsoft Graph para realizar esse processo, você pode usar o conector para enviar indicadores ao Microsoft Sentinel (e a outras soluções de segurança da Microsoft, como o Defender XDR) de qualquer outro TIP personalizado que possa se comunicar com essa API.

Saiba mais sobre a inteligência contra ameaças no Microsoft Sentinel e, especificamente, sobre os produtos TIP que podem ser integrados ao Microsoft Sentinel.

Pré-requisitos

• Para instalar, atualizar e excluir conteúdo autônomo ou soluções no Hub de Conteúdo, você precisa da função Colaborador do Microsoft Sentinel no nível do grupo de recursos.
• Para conceder permissões ao seu produto TIP ou a qualquer outro aplicativo personalizado que use integração direta com a API de Indicadores de TI do Microsoft Graph, você precisa ter a função Administrador de segurança do Microsoft Entra ou as permissões equivalentes.
• Para armazenar seus indicadores de ameaça, você deve ter permissões de leitura e gravação no workspace do Microsoft Sentinel.

Instruções

Para importar indicadores de ameaça para o Microsoft Sentinel de sua solução integrada TIP ou inteligência contra ameaças personalizada, siga estas etapas:

1. Obter uma ID de aplicativo e um segredo de cliente do Microsoft Entra ID.
2. Inserir essas informações na sua solução TIP ou no aplicativo personalizado.
3. Habilite o conector de dados TIP no Microsoft Sentinel.

Inscrever-se para uma ID de aplicativo e um segredo do cliente do Microsoft Entra ID

Independentemente de você estar trabalhando com uma solução TIP ou personalizada, a API tiIndicators requer algumas informações básicas para que você possa conectar seu feed a ela e enviar indicadores de ameaças. Você precisa obter três informações:

• ID do aplicativo (cliente)
• ID do diretório (locatário)
• Segredo do cliente

Você pode obter essas informações do Microsoft Entra ID por meio do registro do aplicativo, que inclui as três etapas a seguir:

• Registre um aplicativo com o Microsoft Entra ID.
• Especificar as permissões exigidas pelo aplicativo para se conectar à API tiIndicators do Microsoft Graph e enviar os indicadores de ameaça.
• Obtenha o consentimento da sua organização para conceder essas permissões ao aplicativo.

Registrar um aplicativo com o Microsoft Entra ID

1. No portal do Azure, acesse Microsoft Entra ID.

2. No menu à esquerda, selecione Registros de aplicativo e, então, selecione Novo registro.

3. Escolha um nome para o registro de aplicativo, selecione Locatário único e, então, selecione Registrar.

   

4. Na tela aberta, copie os valores da ID do aplicativo (cliente) e da ID do diretório (locatário). Essas são as duas informações de que você precisará mais tarde a fim de configurar sua solução TIP ou personalizada para enviar indicadores de ameaça ao Microsoft Sentinel. A terceira informação de que você precisa, o segredo do cliente, virá mais tarde.

Especificar as permissões exigidas pelo aplicativo

1. Volte para a página principal do Microsoft Entra ID.

2. No menu, selecione Registros de Aplicativo e, em seguida, selecione o aplicativo recém-registrado.

3. No menu, selecione Permissões de API>Adicionar uma permissão.

4. Na página Selecionar uma API, selecione a API Microsoft Graph. Em seguida, escolha entre uma lista de permissões do Microsoft Graph.

5. No prompt Que tipo de permissões seu aplicativo requer?, selecione Permissões de aplicativo. Essa permissão é o tipo usado por aplicativos que se autenticam com a ID do aplicativo e segredos do aplicativo (chaves de API).

6. Selecione ThreatIndicators.ReadWrite.OwnedBye selecione Adicionar permissões para adicionar essa permissão à lista de permissões do aplicativo.

   

Obter o consentimento da sua organização para conceder essas permissões

1. Para fornecer consentimento, uma função com privilégios é necessária. Para obter mais informações, consulte Permitir consentimento de administrador em todo locatário para um aplicativo.

   

2. Após o aplicativo receber o consentimento, você verá uma marca de seleção verde em Status.

Depois que seu aplicativo for registrado e as permissões forem concedidas, você precisará obter um segredo do cliente para seu aplicativo.

1. Volte para a página principal do Microsoft Entra ID.

2. No menu, selecione Registros de Aplicativo e, em seguida, selecione o aplicativo recém-registrado.

3. No menu à esquerda, selecione Certificados e segredos. Em seguida, selecione Novo segredo do cliente para receber um segredo (chave de API) para seu aplicativo.

   

4. Selecione Adicionar e copie o segredo do cliente.

   Importante

   Você deve copiar o segredo do cliente antes de sair dessa tela. Você não poderá recuperar esse segredo novamente se sair desta página. Você precisará desse valor ao configurar sua solução TIP ou personalizada.

Inserir essas informações na sua solução TIP ou no aplicativo personalizado

Agora você tem todas as três informações necessárias para configurar a solução TIP ou personalizada e enviar indicadores de ameaça ao Microsoft Sentinel:

• ID do Aplicativo (cliente)
• ID do diretório (locatário)
• Segredo do cliente

Insira esses valores na configuração da TIP integrada ou da solução personalizado quando exigido.

1. Como o produto de destino, especifique o Azure Sentinel. (Especificar Microsoft Sentinel resulta em um erro.)

2. Como ação, especifique alerta.

Após a conclusão da configuração, os indicadores de ameaça são enviados de sua solução TIP ou personalizada, por meio da API tiIndicators do Microsoft Graph, direcionada ao Microsoft Sentinel.

Habilite o conector de dados TIP no Microsoft Sentinel

A última etapa no processo de integração é habilitar o conector de dados TIP no Microsoft Sentinel. Habilitar o conector é o que permite que o Microsoft Sentinel receba os indicadores de ameaça enviados da TIP ou solução personalizada. Esses indicadores estão disponíveis para todos os workspaces do Microsoft Sentinel em sua organização. Para habilitar o conector de dados TIP para cada workspace, siga estas etapas:

1. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de conteúdo, selecione o Hub de conteúdo.
   Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Gerenciamento de conteúdo>Hub de conteúdo.

2. Localize e selecione a solução de Inteligência contra Ameaças.

3. Selecionar o botão Instalar/Atualizar.

   Para obter mais informações sobre como gerenciar os componentes da solução, veja Descobrir e implantar conteúdo pronto para uso.

4. Para configurar o conector de dados TIP, selecione Configuração>Conectores de dados.

5. Localize e selecione o conector de dados Plataformas de Inteligência contra Ameaças e selecione página Abrir conector.

   

6. Como você já concluiu o registro do aplicativo e configurou sua solução TIP ou personalizada para enviar indicadores de ameaça, a única etapa restante é selecionar Conectar.

Em alguns minutos, os indicadores de ameaça começarão a aparecer no espaço de trabalho do Microsoft Sentinel. Você poderá encontrar os novos indicadores no painel Inteligência contra ameaças, que pode ser acessado no menu do Microsoft Sentinel.

Conteúdo relacionado

Neste artigo, você aprendeu como conectar seu TIP ao Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:

• Saiba como obter visibilidade dos seus dados e de possíveis ameaças.
• Introdução à detecção de ameaças com o Microsoft Sentinel.