Conector Threat Intelligence Upload Indicators API (Preview) para Microsoft Sentinel
O Microsoft Sentinel oferece uma API de plano de dados para trazer informações sobre ameaças da sua Threat Intelligence Platform (TIP), como Threat Connect, Palo Alto Networks MineMeld, MISP ou outros aplicativos integrados. Os indicadores de ameaça podem incluir endereços IP, domínios, URLs, hashes de ficheiros e endereços de e-mail. Para obter mais informações, consulte a documentação do Microsoft Sentinel.
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | ThreatIntelligenceIndicator |
| Suporte a regras de coleta de dados | Não é suportado atualmente |
| Apoiado por | Corporação Microsoft |
Exemplos de consulta
Todos os indicadores de APIs de inteligência de ameaças
ThreatIntelligenceIndicator
| where SourceSystem !in ('SecurityGraph', 'Azure Sentinel', 'Microsoft Sentinel')
| sort by TimeGenerated desc
Instruções de instalação do fornecedor
Você pode conectar suas fontes de dados de inteligência de ameaças ao Microsoft Sentinel da seguinte forma:
Usando uma plataforma integrada de inteligência de ameaças (TIP), como Threat Connect, Palo Alto Networks MineMeld, MISP, entre outros.
Chamando a API do plano de dados do Microsoft Sentinel diretamente de outro aplicativo.
- Nota: O 'Status' do conector não aparecerá como 'Conectado' aqui, porque os dados são ingeridos ao fazer uma chamada de API.
Siga estas etapas para se conectar ao seu Threat Intelligence:
- Obter o Token de Acesso do Microsoft Entra ID
[concat('Para enviar solicitação para as APIs, você precisa adquirir o token de acesso do Azure Ative Directory. Você pode seguir as instruções nesta página: /azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token
- Aviso: Por favor, solicite o token de acesso do AAD com o valor do escopo: ', variables('management'), '.default')]
- Enviar indicadores para o Sentinel
Você pode enviar indicadores ligando para nossa API de Indicadores de Upload. Para mais informações sobre a API, clique aqui.
Método HTTP: POST
Ponto final:
https://api.ti.sentinel.azure.com/workspaces/[WorkspaceID]/threatintelligenceindicators:upload?api-version=2022-07-01
WorkspaceID: o espaço de trabalho para o qual os indicadores são carregados.
Valor do cabeçalho 1: "Autorização" = "Portador [Microsoft Entra ID Access Token da etapa 1]"
Valor do cabeçalho 2: "Content-Type" = "application/json"
Corpo: O corpo é um objeto JSON que contém uma matriz de indicadores no formato STIX.
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.