Konektor GreyNoise Threat Intelligence (pomocí Azure Functions) pro Microsoft Sentinel
Tato datová Připojení or nainstaluje aplikaci Azure Functions, která jednou denně stáhne indikátory GreyNoise a vloží je do tabulky ThreatIntelligenceIndicator v Microsoft Sentinelu.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
| atribut Připojení or | Popis |
|---|---|
| Tabulky Log Analytics | ThreatIntelligenceIndicator |
| Podpora pravidel shromažďování dat | V současnosti není podporováno |
| Podporováno | GreyNoise |
Ukázky dotazů
Všechny indikátory rozhraní API analýzy hrozeb
ThreatIntelligenceIndicator
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc
Požadavky
Pokud chcete integrovat funkci GreyNoise Threat Intelligence (pomocí Azure Functions), ujistěte se, že máte:
- Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
- Klíč rozhraní API GreyNoise: Tady načtěte klíč rozhraní API GreyNoise.
Pokyny k instalaci dodavatele
GreyNoise Threat Intelligence můžete připojit ke službě Microsoft Sentinel pomocí následujících kroků:
Následující kroky vytvoří aplikaci Azure AAD, načte klíč rozhraní API GreyNoise a uloží hodnoty v konfiguraci aplikace funkcí Azure.
- Načtěte klíč rozhraní API z vizualizéru GreyNoise.
Generování klíče rozhraní API z vizualizéru GreyNoise https://docs.greynoise.io/docs/using-the-greynoise-api
- Ve svém tenantovi Azure AD vytvořte aplikaci Azure Active Directory (AAD) a získejte ID tenanta a ID klienta. Získejte také ID pracovního prostoru služby Log Analytics přidružené k vaší instanci Služby Microsoft Sentinel (mělo by se zobrazit níže).
Podle zde uvedených pokynů vytvořte aplikaci Azure AAD a uložte ID klienta a ID tenanta: /azure/sentinel/connect-threat-intelligence-upload-api#instructions: Počkejte na 5. kroku a vygenerujte tajný klíč klienta.
- Přiřaďte aplikaci AAD roli Přispěvatel Microsoft Sentinelu.
Podle zde uvedených pokynů přidejte roli Přispěvatel Microsoft Sentinelu: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application
- Zadejte oprávnění AAD, která povolí rozhraní MS Graph API přístup k rozhraní API pro nahrání indikátorů.
Pokud chcete do aplikace AAD přidat oprávnění ThreatIndicators.ReadWrite.OwnedBy , postupujte podle této části: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. Vraťte se do aplikace AAD a ujistěte se, že udělíte souhlas správce s oprávněními, která jste právě přidali. Nakonec v části Tokeny a rozhraní API vygenerujte tajný klíč klienta a uložte ho. Budete ho potřebovat v kroku 6.
- Nasazení řešení Analýza hrozeb (Preview), které zahrnuje rozhraní API indikátorů analýzy hrozeb (Preview)
Podívejte se na centrum obsahu Microsoft Sentinelu pro toto řešení a nainstalujte ho v instanci Služby Microsoft Sentinel.
- Nasazení funkce Azure Functions
Klikněte na tlačítko Nasadit do Azure.
Vyplňte příslušné hodnoty pro každý parametr. Mějte na paměti , že jediné platné hodnoty parametru GREYNOISE_CLASSIFICATIONS jsou neškodné, škodlivé nebo neznámé, které musí být oddělené čárkami.
- Odesílání indikátorů do služby Sentinel
Aplikace funkcí nainstalovaná v kroku 6 se dotazuje rozhraní API GreyNoise GNQL jednou denně a odešle každý indikátor nalezený ve formátu STIX 2.1 do rozhraní API indikátorů analýzy hrozeb Od Microsoftu. Platnost každého indikátoru vyprší za přibližně 24 hodin od vytvoření, pokud se nenajde v dotazu následujícího dne. V tomto případě je indikátor TI platný do doby, než se doba prodlouží na dalších 24 hodin, což ji udržuje aktivní v Microsoft Sentinelu.
Další informace o rozhraní GreyNoise API a GNQL (GreyNoise Query Language) potřebujete kliknutím sem.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.