GreyNoise Threat Intelligence (uso de Azure Functions) conector para Microsoft Sentinel
Este conector de datos instala una aplicación de funciones de Azure para descargar indicadores GreyNoise una vez al día e insertarlos en la tabla ThreatIntelligenceIndicator de Microsoft Sentinel.
Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| Tabla de Log Analytics | ThreatIntelligenceIndicator |
| Compatibilidad con reglas de recopilación de datos | No se admite actualmente. |
| Compatible con | GreyNoise |
Ejemplos de consultas
Todos los indicadores de API de inteligencia sobre amenazas
ThreatIntelligenceIndicator
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc
Requisitos previos
Para realizar la integración con GreyNoise Threat Intelligence (mediante Azure Functions), asegúrese de que tiene:
- Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para obtener más información sobre Azure Functions.
- Clave de API GreyNoise: Recupere la clave de API GreyNoise aquí.
Instrucciones de instalación del proveedor
Puede conectar GreyNoise Threat Intelligence a Microsoft Sentinel siguiendo estos pasos:
En los pasos siguientes se crea una aplicación de Azure AAD, se recupera una clave de API GreyNoise y se guardan los valores en una instancia de Azure Function App Configuration.
- Recupere la clave de API del visualizador GreyNoise.
Generación de una clave de API a partir del visualizador GreyNoise https://docs.greynoise.io/docs/using-the-greynoise-api
- En el inquilino de Azure AD, cree una aplicación de Azure Active Directory (AAD) y adquiera el Id. de inquilino y el Id. de cliente. Además, obtenga el Identificador del área de trabajo de Log Analytics asociado a la instancia de Microsoft Sentinel (debería mostrarse a continuación).
Siga las instrucciones que se indican aquí para crear la aplicación de Azure AAD y guardar el Id. de cliente y el Id. de inquilino: /azure/sentinel/connect-threat-intelligence-upload-api#instructions NOTA: Espere hasta el paso 5 para generar el secreto de cliente.
- Asigne a la aplicación de AAD el rol colaborador de Microsoft Sentinel.
Siga las instrucciones que se indican aquí para agregar el rol de colaborador de Microsoft Sentinel: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application
- Especifique los permisos de AAD para habilitar el acceso de MS Graph API a la API de indicadores de carga.
Siga esta sección aquí para agregar permiso "ThreatIndicators.ReadWrite.OwnedBy " a la aplicación de AAD: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. De nuevo en la aplicación de AAD, asegúrese de conceder el consentimiento del administrador para los permisos que acaba de agregar. Por último, en la sección "Tokens y API", genere un secreto de cliente y guárdelo. Lo necesitará en el paso 6.
- Implemente la solución Inteligencia sobre amenazas (versión preliminar), que incluye la API de indicadores de carga de inteligencia sobre amenazas (versión preliminar)
Consulte Centro de contenido de Microsoft Sentinel para esta solución e instálelo en la instancia de Microsoft Sentinel.
- Implementación de la función de Azure
Haga clic en botón Deploy to Azure (Implementar en Azure).
Rellene los valores adecuados para cada parámetro. Tenga en cuenta que los únicos valores válidos para el parámetro GREYNOISE_CLASSIFICATIONS son benignos, malintencionado o desconocido, que deben estar separados por comas.
- Envíe indicadores a Sentinel
La aplicación de funciones instalada en el paso 6 consulta la API de GNQL GreyNoise una vez al día y envía cada indicador que se encuentra en formato STIX 2.1 a Indicadores de Inteligencia de Amenazas de Microsoft. Cada indicador expira en aproximadamente 24 horas desde la creación, a menos que se encuentre en la consulta del día siguiente. En este caso, el indicador de TI Válido hasta tiempo se extiende durante otras 24 horas, lo que lo mantiene activo en Microsoft Sentinel.
Para obtener más información sobre GreyNoise API y el Lenguaje de consulta GreyNoise (GNQL), haga clic aquí.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.