Ligar a plataforma de informações sobre ameaças ao Microsoft Sentinel

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Nota

Este conector de dados será preterido e deixará de recolher dados em junho de 2026. Recomendamos a transição para o novo conector de dados da API Indicadores de Carregamento de Informações sobre Ameaças o mais rapidamente possível para garantir a recolha de dados ininterrupta. Para obter mais informações, veja Ligar a plataforma de informações sobre ameaças a Microsoft Sentinel com a API de carregamento.

Muitas organizações utilizam soluções de plataforma de informações sobre ameaças (TIP) para agregar feeds de indicadores de ameaças de várias origens. A partir do feed agregado, os dados são organizados para se aplicarem a soluções de segurança, como dispositivos de rede, soluções EDR/XDR ou soluções de gestão de informações e eventos de segurança (SIEM), como Microsoft Sentinel. Ao utilizar o conector de dados TIP, pode utilizar estas soluções para importar indicadores de ameaças para Microsoft Sentinel.

Uma vez que o conector de dados TIP funciona com a API de TiIndicators de Segurança do Microsoft Graph para realizar este processo, pode utilizar o conector para enviar indicadores para Microsoft Sentinel (e para outras soluções de segurança da Microsoft, como Defender XDR) a partir de qualquer outra SUGESTÃO personalizada que possa comunicar com essa API.

Captura de ecrã que mostra o caminho de importação de informações sobre ameaças.

Nota

Para obter informações sobre a disponibilidade de funcionalidades nas clouds do Governo norte-americano, veja as tabelas de Microsoft Sentinel na disponibilidade de funcionalidades da Cloud para clientes do Governo norte-americano.

Saiba mais sobre as informações sobre ameaças no Microsoft Sentinel e, especificamente, sobre os produtos TIP que pode integrar com Microsoft Sentinel.

Importante

Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.

Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.

Pré-requisitos

  • Para instalar, atualizar e eliminar conteúdos autónomos ou soluções no Hub de conteúdos, precisa da função contribuidor Microsoft Sentinel ao nível do grupo de recursos.
  • Para conceder permissões ao produto TIP ou a qualquer outra aplicação personalizada que utilize a integração direta com a API de Indicadores ti do Microsoft Graph, tem de ter a função de Administrador de Segurança Microsoft Entra ou as permissões equivalentes.
  • Para armazenar os indicadores de ameaça, tem de ter permissões de leitura e escrita na área de trabalho Microsoft Sentinel.

Instruções

Para importar indicadores de ameaças para Microsoft Sentinel a partir da sua sugestão integrada ou solução personalizada de informações sobre ameaças, siga estes passos:

  1. Obtenha um ID de aplicação e um segredo do cliente do Microsoft Entra ID.
  2. Introduza estas informações na solução TIP ou na aplicação personalizada.
  3. Ative o conector de dados TIP no Microsoft Sentinel.

Inscrever-se num ID de aplicação e segredo do cliente do Microsoft Entra ID

Quer esteja a trabalhar com uma SUGESTÃO ou uma solução personalizada, a API tiIndicators requer algumas informações básicas para lhe permitir ligar o feed ao mesmo e enviá-lo indicadores de ameaça. As três informações de que precisa são:

  • ID da aplicação (cliente)
  • ID do diretório (inquilino)
  • Segredo do cliente

Pode obter estas informações do Microsoft Entra ID através do registo de aplicações, que inclui os três passos seguintes:

  • Registe uma aplicação com Microsoft Entra ID.
  • Especifique as permissões exigidas pela aplicação para ligar à API tiIndicators do Microsoft Graph e enviar indicadores de ameaças.
  • Obtenha o consentimento da sua organização para conceder estas permissões a esta aplicação.

Registar uma aplicação no Microsoft Entra ID

  1. Na portal do Azure, aceda a Microsoft Entra ID.

  2. No menu, selecione Registos de Aplicações e, em seguida, selecione Novo registo.

  3. Escolha um nome para o registo da aplicação, selecione Inquilino único e, em seguida, selecione Registar.

    Captura de ecrã a mostrar o registo de uma aplicação.

  4. No ecrã que é aberto, copie os valores ID da Aplicação (cliente) e ID do Diretório (inquilino ). Precisará destas duas informações mais tarde para configurar a sua SUGESTÃO ou solução personalizada para enviar indicadores de ameaças para Microsoft Sentinel. A terceira informação de que precisa, o segredo do cliente, vem mais tarde.

Especifique as permissões necessárias para a aplicação

  1. Voltar à página principal do Microsoft Entra ID.

  2. No menu, selecione Registos de Aplicações e, em seguida, selecione a sua aplicação recentemente registada.

  3. No menu, selecione Permissões> da APIAdicionar uma permissão.

  4. Na página Selecionar uma API , selecione a Microsoft Graph API. Em seguida, escolha a partir de uma lista de permissões do Microsoft Graph.

  5. Na linha de comandos De que tipo de permissões é que a sua aplicação necessita?, selecione Permissões da aplicação. Esta permissão é o tipo utilizado pelas aplicações que se autenticam com o ID da aplicação e os segredos da aplicação (chaves de API).

  6. Selecione ThreatIndicators.ReadWrite.OwnedBy e, em seguida, selecione Adicionar permissões para adicionar esta permissão à lista de permissões da sua aplicação.

    Captura de ecrã que mostra a especificação de permissões.

  1. Para conceder consentimento, é necessária uma função com privilégios. Para obter mais informações, veja Conceder consentimento do administrador ao nível do inquilino a uma aplicação.

    Captura de ecrã que mostra a concessão de consentimento.

  2. Após o consentimento ser concedido à sua aplicação, deverá ver uma marca de verificação verde em Estado.

Depois de registar a aplicação e as permissões serem concedidas, tem de obter um segredo do cliente para a sua aplicação.

  1. Voltar à página principal do Microsoft Entra ID.

  2. No menu, selecione Registos de Aplicações e, em seguida, selecione a sua aplicação recentemente registada.

  3. No menu, selecione Certificados & segredos. Em seguida, selecione Novo segredo do cliente para receber um segredo (chave de API) para a sua aplicação.

    Captura de ecrã que mostra a obtenção de um segredo do cliente.

  4. Selecione Adicionar e, em seguida, copie o segredo do cliente.

    Importante

    Tem de copiar o segredo do cliente antes de sair deste ecrã. Não poderá obter este segredo novamente se sair desta página. Precisa deste valor quando configurar a sua SUGESTÃO ou solução personalizada.

Introduza estas informações na solução TIP ou na aplicação personalizada

Tem agora as três informações necessárias para configurar a sua SUGESTÃO ou solução personalizada para enviar indicadores de ameaças para Microsoft Sentinel:

  • ID da aplicação (cliente)
  • ID do diretório (inquilino)
  • Segredo do cliente

Introduza estes valores na configuração da sua SUGESTÃO integrada ou solução personalizada, sempre que necessário.

  1. Para o produto de destino, especifique Azure Sentinel. (Especificar Microsoft Sentinel resulta num erro.)

  2. Para a ação, especifique o alerta.

Após a conclusão da configuração, os indicadores de ameaças são enviados a partir da sua sugestão ou solução personalizada, através da API tiIndicators do Microsoft Graph, direcionada para Microsoft Sentinel.

Ativar o conector de dados TIP no Microsoft Sentinel

O último passo no processo de integração é ativar o conector de dados TIP no Microsoft Sentinel. Ativar o conector é o que permite que Microsoft Sentinel recebam os indicadores de ameaça enviados a partir da sua SUGESTÃO ou solução personalizada. Estes indicadores estão disponíveis para todas as Microsoft Sentinel áreas de trabalho da sua organização. Para ativar o conector de dados TIP para cada área de trabalho, siga estes passos:

  1. Para Microsoft Sentinel na portal do Azure, em Gestão de conteúdos, selecione Hub de conteúdos.
    Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Content management>Hub de conteúdos.

  2. Localize e selecione a solução Informações sobre Ameaças .

  3. Selecione o botão Instalar/Atualizar.

    Para obter mais informações sobre como gerir os componentes da solução, veja Detetar e implementar conteúdos desabrofados.

  4. Para configurar o conector de dados TIP, selecioneConectores de Dados de Configuração>.

  5. Localize e selecione o conector de dados Plataformas de Informações sobre Ameaças – A SER PRETERIDO e, em seguida, selecione Abrir página do conector.

  6. Uma vez que já concluiu o registo de aplicações e configurou a sugestão ou a solução personalizada para enviar indicadores de ameaças, o único passo restante é selecionar Ligar.

Dentro de alguns minutos, os indicadores de ameaça devem começar a fluir para esta área de trabalho Microsoft Sentinel. Pode encontrar os novos indicadores no painel Informações sobre ameaças, aos quais pode aceder a partir do menu Microsoft Sentinel.

Conteúdos relacionados

Neste artigo, aprendeu a ligar a sua SUGESTÃO a Microsoft Sentinel através de um método no caminho para a descontinuação. Para ligar a sugestão através do método recomendado, veja Ligar a SUGESTÃO à API de carregamento.

  • Last updated on