GreyNoise Threat Intelligence-anslutningsprogram (med Azure Functions) för Microsoft Sentinel
Den här data Anslut eller installerar en Azure-funktionsapp för att ladda ned GreyNoise-indikatorer en gång per dag och infogar dem i tabellen ThreatIntelligenceIndicator i Microsoft Sentinel.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslut ellerattribut
| Anslut ellerattribut | beskrivning |
|---|---|
| Log Analytics-tabeller | ThreatIntelligenceIndicator |
| Stöd för regler för datainsamling | Stöds för närvarande inte |
| Stöds av | GreyNoise |
Exempel på frågor
Alla API:er för hotinformation
ThreatIntelligenceIndicator
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc
Förutsättningar
Om du vill integrera med GreyNoise Threat Intelligence (med Hjälp av Azure Functions) kontrollerar du att du har:
- Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.
- GreyNoise API-nyckel: Hämta din GreyNoise API-nyckel här.
Installationsanvisningar för leverantör
Du kan ansluta GreyNoise Threat Intelligence till Microsoft Sentinel genom att följa stegen nedan:
Följande steg skapar ett Azure AAD-program, hämtar en GreyNoise API-nyckel och sparar värdena i en Azure Function App Configuration.
- Hämta DIN API-nyckel från GreyNoise Visualizer.
Generera en API-nyckel från GreyNoise Visualizer https://docs.greynoise.io/docs/using-the-greynoise-api
- I din Azure AD-klientorganisation skapar du ett Azure Active Directory-program (AAD) och skaffar klient-ID och klient-ID. Hämta även Log Analytics-arbetsyte-ID:t som är associerat med din Microsoft Sentinel-instans (det bör visas nedan).
Följ anvisningarna här för att skapa din Azure AAD-app och spara ditt klient-ID och klient-ID: /azure/sentinel/connect-threat-intelligence-upload-api#instructions OBS: Vänta till steg 5 för att generera din klienthemlighet.
- Tilldela AAD-programmet rollen Microsoft Sentinel-deltagare.
Följ anvisningarna här för att lägga till rollen Microsoft Sentinel-deltagare: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application
- Ange AAD-behörigheterna för att aktivera MS Graph API-åtkomst till API:et för uppladdningsindikatorer.
Följ det här avsnittet här om du vill lägga till behörigheten ThreatIndicators.ReadWrite.OwnedBy i AAD-appen: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. Gå tillbaka till din AAD-app och se till att du beviljar administratörsmedgivande för de behörigheter som du just har lagt till. Slutligen genererar du en klienthemlighet i avsnittet "Tokens och API:er" och sparar den. Du behöver det i steg 6.
- Distribuera hotinformationslösningen (förhandsversion), som innehåller API:et för uppladdningsindikatorer för hotinformation (förhandsversion)
Se Microsoft Sentinel Content Hub för den här lösningen och installera den i Microsoft Sentinel-instansen.
- Distribuera Azure-funktionen
Klicka på knappen Distribuera till Azure.
Fyll i lämpliga värden för varje parameter. Tänk på att de enda giltiga värdena för parametern GREYNOISE_CLASSIFICATIONS är godartade, skadliga och/eller okända, som måste kommaavgränsas.
- Skicka indikatorer till Sentinel
Funktionsappen som är installerad i steg 6 frågar GreyNoise GNQL API en gång per dag och skickar varje indikator som finns i STIX 2.1-format till API:et För Hotinformationsindikatorer för Microsoft Upload. Varje indikator upphör att gälla om ~24 timmar från skapandet om den inte hittas på nästa dags fråga. I det här fallet utökas TI-indikatorns giltiga till-tid i ytterligare 24 timmar, vilket håller den aktiv i Microsoft Sentinel.
Om du vill ha mer information om GreyNoise API och GreyNoise Query Language (GNQL) klickar du här.
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.