Conector GreyNoise Threat Intelligence (usando o Azure Functions) para Microsoft Sentinel

  • Artigo

Esse Conector de Dados instala um aplicativo Azure Function para baixar indicadores GreyNoise uma vez por dia e os insere na tabela ThreatIntelligenceIndicator no Microsoft Sentinel.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics ThreatIntelligenceIndicator
Suporte às regras de coleta de dados Sem suporte no momento
Com suporte por GreyNoise

Exemplos de consulta

Todos os indicadores de APIs de Inteligência contra Ameaças

ThreatIntelligenceIndicator 
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc

Pré-requisitos

Para integrar com o GreyNoise Threat Intelligence (usando o Azure Functions), certifique-se de ter:

Instruções de instalação do fornecedor

Você pode conectar o GreyNoise Threat Intelligence ao Microsoft Sentinel seguindo as etapas abaixo:

As etapas a seguir criam um aplicativo AAD do Azure, recuperam uma chave de API GreyNoise e salvam os valores em uma Configuração de Aplicativo de Função do Azure.

  1. Recupere a chave de API do GreyNoise Portal.

    Gerar uma chave de API a partir do GreyNoise Portal https://docs.greynoise.io/docs/using-the-greynoise-api

  2. Em seu locatário do Azure AD, crie um aplicativo do Azure Active Directory (AAD) e adquira ID do Locatário, ID do Cliente e (observação: adie a geração de um Segredo do Cliente até a Etapa 5). Além disso, obtenha a ID do Espaço de Trabalho do Log Analytics associada à sua instância do Microsoft Sentinel que deve estar abaixo.

    Siga as instruções aqui para criar seu aplicativo AAD do Azure e salvar sua ID do Cliente e ID do Locatário: Conecte sua plataforma de inteligência de ameaças ao Microsoft Sentinel com a API de indicadores de carregamento NOTA: Aguarde até a etapa 5 para gerar o segredo do cliente.

  3. Atribua ao aplicativo AAD a Função de Colaborador do Microsoft Sentinel.

    Siga as instruções aqui para adicionar a Função de Colaborador do Microsoft Sentinel: Conecte sua plataforma de inteligência de ameaças ao Microsoft Sentinel com a API de indicadores de upload

  4. Especifique as permissões do AAD para habilitar o acesso da API do MS Graph à API de indicadores de upload.

    Siga esta seção aqui para adicionar a permissão 'ThreatIndicators.ReadWrite.OwnedBy' ao aplicativo AAD: conecte sua plataforma de inteligência de ameaças ao Microsoft Sentinel. De volta ao seu aplicativo AAD, certifique-se de conceder consentimento de administrador para as permissões que você acabou de adicionar. Finalmente, na seção 'Tokens e APIs', gere um segredo do cliente e salve-o. Você precisará dele na Etapa 6.

  5. Implantar a solução Threat Intellegence (Preview), que inclui a API Threat Intelligence Upload Indicators (Preview)

    Consulte o Hub de Conteúdo do Microsoft Sentinel para esta Solução e instale-o nesta instância do Microsoft Sentinel.

  6. Implantar a Azure Function

    Clique no botão Implantar no Azure.

    Deploy To Azure

    Preencha os valores apropriados para cada parâmetro. Lembre-se de que os únicos valores válidos para o parâmetro GREYNOISE_CLASSIFICATIONS são maliciosos e/ou desconhecidos, que devem ser separados por vírgula. Não traga benignos, pois isso trará milhões de IPs que são bons e provavelmente causarão muitos alertas indesejados.

  7. Enviar indicadores para o Sentinel

    O aplicativo de função instalado na Etapa 6 consulta a API GNQL GreyNoise uma vez por dia e envia cada indicador encontrado no formato STIX 2.1 para a API Microsoft Upload Threat Intelligence Indicators.

    Cada indicador expira em ~24 horas a partir da criação, a menos que seja encontrado na consulta do dia seguinte, caso em que o tempo Válido até do indicador TI é estendido por mais 24 horas, o que o mantém ativo no Microsoft Sentinel.

Para obter mais informações sobre a API GreyNoise e a linguagem de consulta GreyNoise (GNQL), clique aqui.

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.