موصل تحليل ذكي للمخاطر (باستخدام Azure Functions) ل Microsoft Sentinel
تقوم هذه البيانات الاتصال أو بتثبيت تطبيق Azure Function لتنزيل مؤشرات GreyNoise مرة واحدة يوميا وإدراجها في جدول ThreatIntelligenceIndicator في Microsoft Sentinel.
هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.
سمات الاتصال أو
| سمة الموصل | الوصف |
|---|---|
| جدول (جداول) Log Analytics | ThreatIntelligenceIndicator |
| دعم قواعد جمع البيانات | غير مدعوم حاليًا |
| مدعومة من قبل | غراي نويز |
عينات الاستعلام
جميع مؤشرات واجهات برمجة تطبيقات التحليل الذكي للمخاطر
ThreatIntelligenceIndicator
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc
المتطلبات الأساسية
للتكامل مع تحليل ذكي للمخاطر من GreyNoise (باستخدام Azure Functions) تأكد من أن لديك:
- أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى Azure Functions لإنشاء تطبيق دالة. راجع الوثائق لمعرفة المزيد حول Azure Functions.
- مفتاح واجهة برمجة تطبيقات GreyNoise: استرداد مفتاح واجهة برمجة تطبيقات GreyNoise هنا.
إرشادات تثبيت المورد
يمكنك توصيل تحليل ذكي للمخاطر في غراينويز ب Microsoft Sentinel باتباع الخطوات التالية:
تنشئ الخطوات التالية تطبيق Azure AAD (دليل Azure النشط)، وتسترد مفتاح واجهة برمجة تطبيقات GreyNoise، وتحفظ القيم في تكوين تطبيق Azure Function.
- استرداد مفتاح API الخاص بك من Visualizer GreyNoise.
إنشاء مفتاح API من Visualizer GreyNoise https://docs.greynoise.io/docs/using-the-greynoise-api
- في مستأجر Azure AD، قم بإنشاء تطبيق Azure Active Directory (AAD (دليل Azure النشط)) والحصول على معرف المستأجر ومعرف العميل. أيضا، احصل على معرف مساحة عمل Log Analytics المقترن بمثيل Microsoft Sentinel (يجب عرضه أدناه).
اتبع الإرشادات هنا لإنشاء تطبيق Azure AAD (دليل Azure النشط) وحفظ معرف العميل ومعرف المستأجر: /azure/sentinel/connect-threat-intelligence-upload-api#instructions ملاحظة: انتظر حتى الخطوة 5 لإنشاء سر العميل.
- تعيين تطبيق AAD (دليل Azure النشط) دور المساهم في Microsoft Sentinel.
اتبع الإرشادات هنا لإضافة دور مساهم Microsoft Sentinel: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application
- حدد أذونات AAD (دليل Azure النشط) لتمكين وصول MS Graph API إلى واجهة برمجة تطبيقات مؤشرات التحميل.
اتبع هذا القسم هنا لإضافة إذن "ThreatIndicators.ReadWrite.OwnedBy" إلى تطبيق AAD (دليل Azure النشط): /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. مرة أخرى في تطبيق AAD (دليل Azure النشط)، تأكد من منح موافقة المسؤول على الأذونات التي أضفتها للتو. وأخيرا، في قسم "الرموز المميزة وواجهات برمجة التطبيقات"، قم بإنشاء سر العميل وحفظه. ستحتاج إليه في الخطوة 6.
- نشر حل التحليل الذكي للمخاطر (معاينة)، والذي يتضمن واجهة برمجة تطبيقات مؤشرات تحميل التحليل الذكي للمخاطر (معاينة)
راجع مركز محتوى Microsoft Sentinel لهذا الحل، وقم بتثبيته في مثيل Microsoft Sentinel.
- نشر Azure Function
انقر فوق زر "Deploy to Azure".
املأ القيم المناسبة لكل معلمة. يجب أن تدرك أن القيم الصالحة الوحيدة للمعلمة GREYNOISE_CLASSIFICATIONS هي قيم حميدة أو ضارة و/أو غير معروفة، والتي يجب فصلها بفواصل.
- إرسال مؤشرات إلى Sentinel
يستعلم تطبيق الدالة المثبت في الخطوة 6 عن واجهة برمجة تطبيقات GNQL الرمادية مرة واحدة في اليوم، ويرسل كل مؤشر موجود بتنسيق STIX 2.1 إلى واجهة برمجة تطبيقات مؤشرات التحليل الذكي للمخاطر من Microsoft Upload. تنتهي صلاحية كل مؤشر في حوالي 24 ساعة من الإنشاء ما لم يتم العثور عليه في استعلام اليوم التالي. في هذه الحالة، يكون مؤشر TI صالحا حتى يتم تمديد الوقت لمدة 24 ساعة أخرى، ما يبقيه نشطا في Microsoft Sentinel.
لمزيد من المعلومات حول واجهة برمجة تطبيقات GreyNoise ولغة الاستعلام الرمادي (GNQL)، انقر هنا.
الخطوات التالية
لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.