GreyNoise Threat Intelligence (az Azure Functions használatával) összekötő a Microsoft Sentinelhez

  • Cikk

Ez a Data Csatlakozás or egy Azure-függvényalkalmazást telepít, amely naponta egyszer letölti a GreyNoise jelzőket, és beszúrja őket a Microsoft Sentinel ThreatIntelligenceIndicator táblájába.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Csatlakozás or attribútumok

Csatlakozás or attribútum Leírás
Log Analytics-tábla(ok) ThreatIntelligenceIndicator
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: GreyNoise

Példák lekérdezésekre

Minden fenyegetésintelligencia API-mutató

ThreatIntelligenceIndicator 
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc

Előfeltételek

A GreyNoise Threat Intelligencerel való integráláshoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:

  • Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
  • GreyNoise API-kulcs: Itt lekérheti a GreyNoise API-kulcsot.

Szállító telepítési útmutatója

A GreyNoise Threat Intelligencet az alábbi lépések végrehajtásával csatlakoztathatja a Microsoft Sentinelhez:

Az alábbi lépések létrehoznak egy Azure AAD-alkalmazást, lekérnek egy GreyNoise API-kulcsot, és egy Azure-függvényalkalmazás konfigurációjában menti az értékeket.

  1. Kérje le az API-kulcsot a GreyNoise Visualizerből.

API-kulcs létrehozása a GreyNoise Visualizerből https://docs.greynoise.io/docs/using-the-greynoise-api

  1. Az Azure AD-bérlőben hozzon létre egy Azure Active Directory-alkalmazást (AAD), és szerezze be a bérlőazonosítót és az ügyfél-azonosítót. Kérje le a Microsoft Sentinel-példányhoz társított Log Analytics-munkaterület azonosítóját is (az alábbiakban kell megjelennie).

Kövesse az itt található utasításokat az Azure AAD-alkalmazás létrehozásához, és mentse az ügyfél-azonosítóját és a bérlőazonosítóját: /azure/sentinel/connect-threat-intelligence-upload-api#instructions MEGJEGYZÉS: Várjon, amíg az 5. lépéssel létrehozza az ügyfél titkos kódját.

  1. Rendelje hozzá az AAD-alkalmazást a Microsoft Sentinel közreműködői szerepköréhez.

Kövesse az alábbi utasításokat a Microsoft Sentinel közreműködői szerepkör hozzáadásához: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application

  1. Adja meg az AAD-engedélyeket az MS Graph API-nak a feltöltésjelző API-hoz való hozzáférésének engedélyezéséhez.

Ezt a szakaszt követve adja hozzá a "ThreatIndicators.ReadWrite.OwnedBy" engedélyt az AAD-alkalmazáshoz: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. Az AAD-alkalmazásba visszatérve győződjön meg arról, hogy rendszergazdai hozzájárulást ad az imént hozzáadott engedélyekhez. Végül a Jogkivonatok és API-k szakaszban hozzon létre egy titkos ügyfélkulcsot, és mentse azt. A 6. lépésben szüksége lesz rá.

  1. A Fenyegetésintelligencia (előzetes verzió) megoldás üzembe helyezése, amely magában foglalja a Threat Intelligence Upload Indicators API-t (előzetes verzió)

A megoldáshoz tekintse meg a Microsoft Sentinel Content Hubot, és telepítse a Microsoft Sentinel-példányban.

  1. Az Azure-függvény üzembe helyezése

Kattintson az Üzembe helyezés az Azure-ban gombra.

Üzembe helyezés az Azure-ban

Adja meg az egyes paraméterek megfelelő értékeit. Vegye figyelembe, hogy a GREYNOI Standard kiadás_CLASSIFICATIONS paraméter egyetlen érvényes értéke jóindulatú, rosszindulatú és/vagy ismeretlen, amelyet vesszővel kell elválasztani.

  1. Jelzők küldése a Sentinelnek

A 6. lépésben telepített függvényalkalmazás naponta egyszer lekérdezi a GreyNoise GNQL API-t, és elküldi a STIX 2.1 formátumban talált összes mutatót a Microsoft Upload Threat Intelligence Indicators API-nak. Minden mutató a létrehozástól számított ~24 órán belül lejár, kivéve, ha a következő napi lekérdezésben nem található. Ebben az esetben a TI-mutató érvényes időtartama további 24 órára meghosszabbodik, ami a Microsoft Sentinelben is aktív marad.

A GreyNoise API-val és a GNQL-rel kapcsolatos további információkért kattintson ide.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.