Conector GreyNoise Threat Intelligence (usando o Azure Functions) para Microsoft Sentinel
Esse Conector de Dados instala um aplicativo Azure Function para baixar indicadores GreyNoise uma vez por dia e os insere na tabela ThreatIntelligenceIndicator no Microsoft Sentinel.
Atributos do conector
Atributo do conector | Description |
---|---|
Tabela(s) do Log Analytics | ThreatIntelligenceIndicator |
Suporte às regras de coleta de dados | Sem suporte no momento |
Com suporte por | GreyNoise |
Exemplos de consulta
Todos os indicadores de APIs de Inteligência contra Ameaças
ThreatIntelligenceIndicator
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc
Pré-requisitos
Para integrar com o GreyNoise Threat Intelligence (usando o Azure Functions), certifique-se de ter:
- Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
- Chave da API GreyNoise: Recupere sua chave de API GreyNoise aqui.
Instruções de instalação do fornecedor
Você pode conectar o GreyNoise Threat Intelligence ao Microsoft Sentinel seguindo as etapas abaixo:
As etapas a seguir criam um aplicativo AAD do Azure, recuperam uma chave de API GreyNoise e salvam os valores em uma Configuração de Aplicativo de Função do Azure.
Recupere a chave de API do GreyNoise Portal.
Gerar uma chave de API a partir do GreyNoise Portal https://docs.greynoise.io/docs/using-the-greynoise-api
Em seu locatário do Azure AD, crie um aplicativo do Azure Active Directory (AAD) e adquira ID do Locatário, ID do Cliente e (observação: adie a geração de um Segredo do Cliente até a Etapa 5). Além disso, obtenha a ID do Espaço de Trabalho do Log Analytics associada à sua instância do Microsoft Sentinel que deve estar abaixo.
Siga as instruções aqui para criar seu aplicativo AAD do Azure e salvar sua ID do Cliente e ID do Locatário: Conecte sua plataforma de inteligência de ameaças ao Microsoft Sentinel com a API de indicadores de carregamento NOTA: Aguarde até a etapa 5 para gerar o segredo do cliente.
Atribua ao aplicativo AAD a Função de Colaborador do Microsoft Sentinel.
Siga as instruções aqui para adicionar a Função de Colaborador do Microsoft Sentinel: Conecte sua plataforma de inteligência de ameaças ao Microsoft Sentinel com a API de indicadores de upload
Especifique as permissões do AAD para habilitar o acesso da API do MS Graph à API de indicadores de upload.
Siga esta seção aqui para adicionar a permissão 'ThreatIndicators.ReadWrite.OwnedBy' ao aplicativo AAD: conecte sua plataforma de inteligência de ameaças ao Microsoft Sentinel. De volta ao seu aplicativo AAD, certifique-se de conceder consentimento de administrador para as permissões que você acabou de adicionar. Finalmente, na seção 'Tokens e APIs', gere um segredo do cliente e salve-o. Você precisará dele na Etapa 6.
Implantar a solução Threat Intellegence (Preview), que inclui a API Threat Intelligence Upload Indicators (Preview)
Consulte o Hub de Conteúdo do Microsoft Sentinel para esta Solução e instale-o nesta instância do Microsoft Sentinel.
Implantar a Azure Function
Clique no botão Implantar no Azure.
Preencha os valores apropriados para cada parâmetro. Lembre-se de que os únicos valores válidos para o parâmetro GREYNOISE_CLASSIFICATIONS são maliciosos e/ou desconhecidos, que devem ser separados por vírgula. Não traga benignos, pois isso trará milhões de IPs que são bons e provavelmente causarão muitos alertas indesejados.
Enviar indicadores para o Sentinel
O aplicativo de função instalado na Etapa 6 consulta a API GNQL GreyNoise uma vez por dia e envia cada indicador encontrado no formato STIX 2.1 para a API Microsoft Upload Threat Intelligence Indicators.
Cada indicador expira em ~24 horas a partir da criação, a menos que seja encontrado na consulta do dia seguinte, caso em que o tempo Válido até do indicador TI é estendido por mais 24 horas, o que o mantém ativo no Microsoft Sentinel.
Para obter mais informações sobre a API GreyNoise e a linguagem de consulta GreyNoise (GNQL), clique aqui.
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.