Konektor GreyNoise Threat Intelligence (pomocí Azure Functions) pro Microsoft Sentinel
Tento datový konektor nainstaluje aplikaci Funkcí Azure, která jednou denně stáhne indikátory GreyNoise a vloží je do tabulky ThreatIntelligenceIndicator v Microsoft Sentinelu.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
Atributy konektoru
| Atribut konektoru | Popis |
|---|---|
| Tabulky Log Analytics | ThreatIntelligenceIndicator |
| Podpora pravidel shromažďování dat | V současnosti není podporováno |
| Podporováno | GreyNoise |
Ukázky dotazů
Všechny indikátory rozhraní API analýzy hrozeb
ThreatIntelligenceIndicator
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc
Požadavky
Pokud chcete integrovat funkci GreyNoise Threat Intelligence (pomocí Azure Functions), ujistěte se, že máte:
- Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
- Klíč rozhraní API GreyNoise: Tady načtěte klíč rozhraní API GreyNoise.
Pokyny k instalaci dodavatele
GreyNoise Threat Intelligence můžete připojit ke službě Microsoft Sentinel pomocí následujících kroků:
Následující kroky vytvoří aplikaci Microsoft Entra ID, načte klíč rozhraní API GreyNoise a uloží hodnoty v konfiguraci aplikace funkcí Azure.
- Načtěte klíč rozhraní API z vizualizéru GreyNoise.
Generování klíče rozhraní API z vizualizéru GreyNoise https://docs.greynoise.io/docs/using-the-greynoise-api
- Ve svém tenantovi Microsoft Entra ID vytvořte aplikaci Microsoft Entra ID a získejte ID tenanta a ID klienta. Získejte také ID pracovního prostoru služby Log Analytics přidružené k vaší instanci Služby Microsoft Sentinel (mělo by se zobrazit níže).
Postupujte podle zde uvedených pokynů k vytvoření aplikace Microsoft Entra ID a uložení ID klienta a ID tenanta: /azure/sentinel/connect-threat-intelligence-upload-api#instructions: Počkejte na krok 5 a vygenerujte tajný klíč klienta.
- Přiřaďte aplikaci Microsoft Entra ID roli Přispěvatel Microsoft Sentinelu.
Podle zde uvedených pokynů přidejte roli Přispěvatel Microsoft Sentinelu: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application
- Zadejte oprávnění Microsoft Entra ID pro povolení přístupu rozhraní MS Graph API k rozhraní API pro nahrání indikátorů.
V této části přidejte oprávnění ThreatIndicators.ReadWrite.OwnedBy k aplikaci Microsoft Entra ID: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. Vraťte se do aplikace Microsoft Entra ID a ujistěte se, že udělíte souhlas správce s oprávněními, která jste právě přidali. Nakonec v části Tokeny a rozhraní API vygenerujte tajný klíč klienta a uložte ho. Budete ho potřebovat v kroku 6.
- Nasazení řešení Analýza hrozeb (Preview), které zahrnuje rozhraní API indikátorů analýzy hrozeb (Preview)
Podívejte se na centrum obsahu Microsoft Sentinelu pro toto řešení a nainstalujte ho v instanci Služby Microsoft Sentinel.
- Nasazení funkce Azure Functions
Klikněte na tlačítko Nasadit do Azure.
Vyplňte příslušné hodnoty pro každý parametr. Mějte na paměti , že jediné platné hodnoty parametru GREYNOISE_CLASSIFICATIONS jsou neškodné, škodlivé nebo neznámé, které musí být oddělené čárkami.
- Odesílání indikátorů do služby Sentinel
Aplikace funkcí nainstalovaná v kroku 6 se dotazuje rozhraní API GreyNoise GNQL jednou denně a odešle každý indikátor nalezený ve formátu STIX 2.1 do rozhraní API indikátorů analýzy hrozeb Od Microsoftu. Platnost každého indikátoru vyprší za přibližně 24 hodin od vytvoření, pokud se nenajde v dotazu následujícího dne. V tomto případě je indikátor TI platný do doby, než se doba prodlouží na dalších 24 hodin, což ji udržuje aktivní v Microsoft Sentinelu.
Další informace o rozhraní GreyNoise API a GNQL (GreyNoise Query Language) potřebujete kliknutím sem.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.