Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Muitas organizações usam as soluções da plataforma de inteligência contra ameaças (TIP) para agregar feeds de inteligência contra ameaças de várias fontes. A partir do feed agregado, os dados são selecionados para serem aplicados a soluções de segurança, como dispositivos de rede, soluções de EDR/XDR ou soluções de gerenciamento de eventos e informações de segurança (SIEM), como o Microsoft Sentinel. O padrão do setor para descrever as informações de ameaças cibernéticas é chamado de "Expressão de Informações de Ameaças Estruturadas" ou STIX. Usando a API de upload que dá suporte a objetos STIX, você usa uma maneira mais expressiva de importar inteligência contra ameaças para o Microsoft Sentinel.
A API de upload ingere inteligência contra ameaças no Microsoft Sentinel sem a necessidade de um conector de dados. Este artigo descreve o que você precisa para se conectar. Para obter mais informações sobre os detalhes da API, consulte o documento de referência da API de upload do Microsoft Sentinel.
Para obter mais informações sobre inteligência contra ameaças, consulte Inteligência contra ameaças.
Importante
A API de upload de inteligência contra ameaças do Microsoft Sentinel está em versão prévia. Consulte os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos mais legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou ainda não lançados em disponibilidade geral.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos usuários também são integrados e redirecionados automaticamente do portal do Azure para o portal do Defender. Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: como desativa o portal do Azure do Microsoft Sentinel para obter mais segurança.
Observação
Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel na disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Pré-requisitos
- Você precisa ter permissões de leitura e gravação no espaço de trabalho do Microsoft Sentinel para armazenar seus objetos STIX de inteligência contra ameaças.
- Você deve ser capaz de registrar um aplicativo do Microsoft Entra.
- Seu aplicativo Microsoft Entra deve receber a função de Colaborador do Microsoft Sentinel no nível do espaço de trabalho.
Instruções
Siga estas etapas para importar os objetos STIX de inteligência contra ameaças da sua TIP integrada ou solução personalizada de inteligência contra ameaças para o Microsoft Sentinel:
- Registre um aplicativo Microsoft Entra e, em seguida, registre a ID do aplicativo.
- Gere e registre um segredo do cliente para seu aplicativo Microsoft Entra.
- Atribua ao seu aplicativo Microsoft Entra a função de Colaborador do Microsoft Sentinel ou equivalente.
- Configure sua solução TIP ou aplicativo personalizado.
Registrar um aplicativo do Microsoft Entra
As permissões de função de usuário padrão permitem que os usuários criem registros de aplicativo. Se essa configuração tiver sido alterada para Não, você precisará de permissão para gerenciar aplicativos no Microsoft Entra. Qualquer uma das seguintes funções do Microsoft Entra inclui as permissões necessárias:
- Administrador de aplicativos
- Desenvolvedor de aplicativos
- Administrador de aplicativos de nuvem
Para obter mais informações sobre como registrar seu aplicativo Microsoft Entra, consulte Registrar um aplicativo.
Depois de registrar seu aplicativo, registre sua ID do aplicativo (cliente) na guia Visão Geral do aplicativo.
Atribuir uma função ao aplicativo
A API de upload ingere objetos de inteligência contra ameaças no nível do espaço de trabalho e requer a função de Colaborador do Microsoft Sentinel.
No portal do Azure, acesse os Espaços de trabalho do Log Analytics.
Selecione controle de acesso (IAM).
Selecione Adicionar>atribuição de função.
Na guia Função , selecione a função Colaborador do Microsoft Sentinel e selecione Avançar.
Na guia Membros , selecione Atribuir acesso a>Usuário, grupo ou entidade de serviço.
Selecionar membros. Por padrão, os aplicativos do Microsoft Entra não são exibidos nas opções disponíveis. Para encontrar seu aplicativo, procure-o pelo nome.
Selecione Examinar + atribuir.
Para obter mais informações sobre como atribuir funções a aplicativos, consulte Atribuir uma função ao aplicativo.
Configure sua solução de plataforma de inteligência contra ameaças ou aplicativo personalizado
As informações de configuração a seguir são exigidas pela API de upload:
- ID do aplicativo (do cliente)
- Token de acesso do Entra da Microsoft com autenticação OAuth 2.0
- ID do espaço de trabalho do Microsoft Sentinel
Insira esses valores na configuração da TIP integrada ou da solução personalizado quando exigido.
- Envie a inteligência contra ameaças à API de upload. Para obter mais informações, consulte a API de upload do Microsoft Sentinel.
- Em poucos minutos, os objetos de inteligência contra ameaças devem começar a fluir para seu espaço de trabalho do Microsoft Sentinel. Localize os novos objetos STIX na página inteligência contra ameaças , que pode ser acessada no menu do Microsoft Sentinel.
Conteúdo relacionado
Neste artigo, você aprendeu como conectar seu TIP ao Microsoft Sentinel. Para saber mais sobre como usar a inteligência contra ameaças no Microsoft Sentinel, confira os seguintes artigos:
- Entenda a inteligência de ameaças.
- Trabalhe com indicadores de ameaça em toda a experiência do Microsoft Sentinel.
- Comece a detectar ameaças com regras de análise internas ou personalizadas no Microsoft Sentinel.