Partilhar via


Conector Threat Intelligence Upload Indicators API (Preview) para Microsoft Sentinel

O Microsoft Sentinel oferece uma API de plano de dados para trazer informações sobre ameaças da sua Threat Intelligence Platform (TIP), como Threat Connect, Palo Alto Networks MineMeld, MISP ou outros aplicativos integrados. Os indicadores de ameaça podem incluir endereços IP, domínios, URLs, hashes de ficheiros e endereços de e-mail. Para obter mais informações, consulte a documentação do Microsoft Sentinel.

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics ThreatIntelligenceIndicator
Suporte a regras de coleta de dados Não é suportado atualmente
Apoiado por Corporação Microsoft

Exemplos de consulta

Todos os indicadores de APIs de inteligência de ameaças

ThreatIntelligenceIndicator 
| where SourceSystem !in ('SecurityGraph', 'Azure Sentinel', 'Microsoft Sentinel')
| sort by TimeGenerated desc

Instruções de instalação do fornecedor

Você pode conectar suas fontes de dados de inteligência de ameaças ao Microsoft Sentinel da seguinte forma:

Usando uma plataforma integrada de inteligência de ameaças (TIP), como Threat Connect, Palo Alto Networks MineMeld, MISP, entre outros.

Chamando a API do plano de dados do Microsoft Sentinel diretamente de outro aplicativo.

  • Nota: O 'Status' do conector não aparecerá como 'Conectado' aqui, porque os dados são ingeridos ao fazer uma chamada de API.

Siga estas etapas para se conectar ao seu Threat Intelligence:

  1. Obter o Token de Acesso do Microsoft Entra ID

[concat('Para enviar solicitação para as APIs, você precisa adquirir o token de acesso do Azure Ative Directory. Você pode seguir as instruções nesta página: /azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token

  • Aviso: Por favor, solicite o token de acesso do AAD com o valor do escopo: ', variables('management'), '.default')]
  1. Enviar indicadores para o Sentinel

Você pode enviar indicadores ligando para nossa API de Indicadores de Upload. Para mais informações sobre a API, clique aqui.

Método HTTP: POST

Ponto final: https://api.ti.sentinel.azure.com/workspaces/[WorkspaceID]/threatintelligenceindicators:upload?api-version=2022-07-01

WorkspaceID: o espaço de trabalho para o qual os indicadores são carregados.

Valor do cabeçalho 1: "Autorização" = "Portador [Microsoft Entra ID Access Token da etapa 1]"

Valor do cabeçalho 2: "Content-Type" = "application/json"

Corpo: O corpo é um objeto JSON que contém uma matriz de indicadores no formato STIX.

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.