Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Viele Organisationen verwenden TIP-Lösungen (Threat Intelligence-Plattform), um Threat Intelligence-Feeds aus verschiedenen Quellen zu aggregieren. Aus dem aggregierten Feed werden die Daten für Sicherheitslösungen wie Netzwerkgeräte, EDR-/XDR- oder SIEM-Lösungen (Security Information & Event Management) wie Microsoft Sentinel kuratiert. Der Branchenstandard zur Beschreibung von Cyberbedrohungsinformationen wird als „Structured Threat Information Expression“ oder STIX bezeichnet. Mithilfe der Upload-API, die STIX-Objekte unterstützt, können Sie eine ausdrucksbetontere Methode verwenden, um Threat Intelligence in Microsoft Sentinel zu importieren.
Die Upload-API erfasst Threat Intelligence in Microsoft Sentinel, ohne dass ein Datenconnector erforderlich ist. In diesem Artikel wird beschrieben, was Sie zum Herstellen einer Verbindung benötigen. Weitere Informationen zu den API-Details finden Sie im Referenzdokument der Microsoft Sentinel-Upload-API.
Weitere Informationen zur Bedrohungserkennung finden Sie unter Threat Intelligence.
Wichtig
Die Microsoft Sentinel Threat Intelligence-Upload-API befindet sich in der Vorschauphase. Weitere rechtliche Bestimmungen für Azure Preview finden Sie in den ergänzenden Nutzungsbedingungen für Microsoft Azure Previews , die für Azure-Features gelten, die sich in Der Betaversion, Vorschau oder auf andere Weise noch nicht in der allgemeinen Verfügbarkeit befinden.
Ab Juli 2026 werden alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, auf das Defender-Portal umgeleitet und verwenden nur Microsoft Sentinel im Defender-Portal. Ab Juli 2025 werden viele neue Benutzer ebenfalls automatisch eingebunden und vom Azure-Portal zum Defender-Portal umgeleitet. Wenn Sie Microsoft Sentinel weiterhin im Azure-Portal verwenden, empfehlen wir Ihnen, mit der Planung Ihres Übergangs zum Defender-Portal zu beginnen, um einen reibungslosen Übergang sicherzustellen und die von Microsoft Defender angebotene einheitliche Sicherheitsvorgänge zu nutzen. Weitere Informationen finden Sie unter "Zeit zum Verschieben: Zurückstellen des Azure-Portals von Microsoft Sentinel für größere Sicherheit".
Hinweis
Informationen zur Verfügbarkeit von Features in US Government-Clouds finden Sie in den Microsoft Sentinel-Tabellen in der Cloud-Featureverfügbarkeit für US Government-Kunden.
Voraussetzungen
- Sie benötigen Lese- und Schreibberechtigungen für den Microsoft Sentinel-Arbeitsbereich, um Ihre STIX-Threat Intelligence-Objekte zu speichern.
- Sie müssen in der Lage sein, eine Microsoft Entra-Anwendung zu registrieren.
- Ihrer Microsoft Entra-Anwendung muss die Rolle „Microsoft Sentinel-Mitwirkender“ auf Arbeitsbereichsebene gewährt werden.
Instructions
Führen Sie die folgenden Schritte aus, um STIX-Threat Intelligence-Objekte aus Ihrer integrierten TIP- oder einer benutzerdefinierten Threat Intelligence-Lösung in Microsoft Sentinel zu importieren:
- Registrieren Sie eine Microsoft Entra-Anwendung, und notieren Sie dann ihre Anwendungs-ID.
- Generieren Sie einen geheimen Clientschlüssels für Ihre Microsoft Entra-Anwendung, und notieren Sie diesen.
- Weisen Sie Ihrer Microsoft Entra-Anwendung die Rolle „Microsoft Sentinel-Mitwirkender“ oder eine gleichwertige Rolle zu.
- Konfigurieren Sie Ihre TIP-Lösung oder Ihre benutzerdefinierte Anwendung.
Registrieren einer Microsoft Entra-Anwendung
Mit den Standardberechtigungen für Benutzerrollen können Benutzer Anwendungsregistrierungen erstellen. Wenn diese Einstellung auf "Nein" umgestellt wurde, benötigen Sie die Berechtigung zum Verwalten von Anwendungen in Microsoft Entra. Die folgenden Microsoft Entra-Rollen enthalten die erforderlichen Berechtigungen:
- Anwendungsadministrator
- Anwendungsentwickler
- Cloudanwendungsadministrator
Weitere Informationen zum Registrieren Ihrer Microsoft Entra-Anwendung finden Sie unter Registrieren einer Anwendung.
Nachdem Sie Ihre Anwendung registriert haben, notieren Sie die Anwendungs-ID (Client-ID) auf der Registerkarte "Übersicht" der Anwendung.
Zuweisen einer Rolle zur Anwendung
Die Upload-API erfasst Threat Intelligence-Objekte auf Arbeitsbereichsebene und erfordert die Rolle „Microsoft Sentinel-Mitwirkender“.
Wechseln Sie im Azure-Portal zu Log Analytics-Arbeitsbereichen.
Wählen Sie access control (IAM) aus.
Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen aus.
Wählen Sie auf der Registerkarte " Rolle " die Rolle "Microsoft Sentinel-Mitwirkender" und dann "Weiter" aus.
Wählen Sie auf der Registerkarte " Mitglieder " die Option " Zugriff auf>Benutzer", "Gruppe" oder "Dienstprinzipal zuweisen" aus.
Wählen Sie Mitglieder aus. Microsoft Entra-Anwendungen werden standardmäßig nicht in den verfügbaren Optionen angezeigt. Um Ihre Anwendung zu finden, suchen Sie nach ihrem Namen.
Wählen Sie "Überprüfen+ Zuweisen" aus.
Weitere Informationen zum Zuweisen von Rollen zu Anwendungen finden Sie unter Zuweisen einer Rolle zur Anwendung.
Konfigurieren Ihrer Threat Intelligence Platform-Lösung oder benutzerdefinierten Anwendung
Die folgenden Konfigurationsinformationen sind für die Upload-API erforderlich:
- Anwendungs-ID (Client)
- Microsoft Entra-Zugriffstoken mit OAuth 2.0-Authentifizierung
- Microsoft Sentinel-Arbeitsbereichs-ID
Geben Sie diese Werte bei Bedarf in die Konfiguration Ihres integrierten TIP oder Ihrer benutzerdefinierten Lösung ein.
- Übermitteln Sie die Threat Intelligence-Informationen an die Upload-API. Weitere Informationen finden Sie in der Microsoft Sentinel-Upload-API.
- Nach wenigen Minuten sollten die Threat Intelligence-Objekte in Ihren Microsoft Sentinel-Arbeitsbereich fließen. Suchen Sie die neuen STIX-Objekte auf der Threat Intelligence-Seite , auf die über das Microsoft Sentinel-Menü zugegriffen werden kann.
Verwandte Inhalte
In diesem Artikel haben Sie erfahren, wie Sie Ihre TIP mit Microsoft Sentinel verbinden. Weitere Informationen zur Verwendung von Threat Intelligence in Microsoft Sentinel finden Sie in den folgenden Artikeln:
- Verstehen Sie Bedrohungsinformationen.
- Arbeiten Sie mit Bedrohungsindikatoren während der gesamten Microsoft Sentinel-Erfahrung.
- Erste Schritte beim Erkennen von Bedrohungen mit integrierten oder benutzerdefinierten Analyseregeln in Microsoft Sentinel.