GreyNoise Threat Intelligence-Connector (über Azure Functions) für Microsoft Sentinel
Dieser Data Connector installiert eine Azure Functions-App, um GreyNoise-Indikatoren einmal pro Tag herunterzuladen und sie in die Tabelle „ThreatIntelligenceIndicator“ in Microsoft Sentinel einzufügen.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | ThreatIntelligenceIndicator |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | GreyNoise |
Abfragebeispiele
Alle Indikatoren von Threat Intelligence-APIs
ThreatIntelligenceIndicator
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc
Voraussetzungen
Stellen Sie für die Integration in GreyNoise Threat Intelligence (mit Azure Functions) sicher, dass Folgendes vorhanden ist:
- Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
- GreyNoise-API-Schlüssel: Rufen Sie hier Ihren GreyNoise-API-Schlüssel ab.
Installationsanweisungen des Anbieters
Sie können GreyNoise Threat Intelligence mit Microsoft Sentinel verbinden, indem Sie die Schritte unten ausführen:
Mit den folgenden Schritten werden eine Azure AAD-Anwendung erstellt, ein GreyNoise-API-Schlüssel abgerufen und die Werte in einer Azure Functions-App-Konfiguration gespeichert.
- Rufen Sie Ihren API-Schlüssel aus GreyNoise Visualizer ab.
Generieren Sie einen API-Schlüssel in GreyNoise Visualizer https://docs.greynoise.io/docs/using-the-greynoise-api.
- Erstellen Sie in Ihrem Azure AD-Mandanten eine AAD-Anwendung (Azure Active Directory), und rufen Sie dafür Mandanten-ID und Client-ID ab. Rufen Sie außerdem die ID des Log Analytics-Arbeitsbereichs ab, die Ihrer Microsoft Sentinel-Instanz zugeordnet ist (sollte unten angezeigt werden).
Folgen Sie den Anweisungen hier, um Ihre Azure AAD-App zu erstellen und Ihre Client-ID und Mandanten-ID zu speichern: /azure/sentinel/connect-threat-intelligence-upload-api#instructions HINWEIS: Warten Sie bis Schritt 5, um Ihren geheimen Clientschlüssel zu generieren.
- Weisen Sie Ihrer AAD-Anwendung die Rolle „Microsoft Sentinel-Mitwirkender“ zu.
Folgen Sie den Anweisungen hier, um die Rolle „Microsoft Sentinel-Mitwirkender“ hinzuzufügen: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application
- Geben Sie die AAD-Berechtigungen an, um den Zugriff der MS Graph-API auf die Uploadindikatoren-API zu ermöglichen.
Folgen Sie diesem Abschnitt, um der AAD-App eine ThreatIndicators.ReadWrite.OwnedBy-Berechtigung hinzuzufügen: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. Stellen Sie wieder in Ihrer AAD-App sicher, dass Sie den soeben hinzugefügten Berechtigungen Administratorzustimmung erteilen. Generieren Sie schließlich im Abschnitt „Token und APIs“ einen geheimen Clientschlüssel, und speichern Sie ihn. Sie benötigen ihn in Schritt 6.
- Bereitstellen der Threat Intelligence-Lösung (Vorschau), die die Threat Intelligence Upload Indicators API (Vorschau) enthält
Weitere Informationen finden Sie im Microsoft Sentinel Content Hub für diese Lösung, und installieren Sie ihn in der Microsoft Sentinel-Instanz.
- Bereitstellen der Azure-Funktions-App
Klicken Sie auf die Schaltfläche Bereitstellen in Azure.
Geben Sie die entsprechenden Werte für alle Parameter ein. Beachten Sie, dass die einzigen gültigen Werte für den GREYNOISE_CLASSIFICATIONS-Parameter gutartig, bösartig und/oder unbekannt sind, die durch Kommas getrennt werden müssen.
- Senden von Indikatoren an Sentinel
Die in Schritt 6 installierte Funktions-App fragt die GreyNoise GNQL-API einmal täglich ab und sendet jeden Indikator im STIX 2.1-Format an die Microsoft Upload Threat Intelligence Indicators API. Jeder Indikator läuft etwa 24 Stunden nach der Erstellung ab, es sei denn, er wurde in der Abfrage des nächsten Tages gefunden. In diesem Fall wird die Zeit des TI-Indikators für Gültig bis um weitere 24 Stunden verlängert, wodurch er in Microsoft Sentinel aktiv bleibt.
Weitere Informationen zur GreyNoise-API und der GreyNoise Query Language (GNQL) finden Sie hier.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.