Connettore CTI ZeroFox (con Funzioni di Azure) per Microsoft Sentinel

  • Articolo

I connettori dati CTI ZeroFox offrono la possibilità di inserire i diversi avvisi di Cyber Threat Intelligence zeroFox in Microsoft Sentinel.

Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.

Attributi connettore

Attributo connettore Descrizione
Tabelle Log Analytics ZeroFox_CTI_advanced_dark_web_CL
ZeroFox_CTI_botnet_CL
ZeroFox_CTI_breaches_CL
ZeroFox_CTI_C2_CL
ZeroFox_CTI_compromised_credentials_CL
ZeroFox_CTI_credit_cards_CL
ZeroFox_CTI_dark_web_CL
ZeroFox_CTI_discord_CL
ZeroFox_CTI_disruption_CL
ZeroFox_CTI_email_addresses_CL
ZeroFox_CTI_exploits_CL
ZeroFox_CTI_irc_CL
ZeroFox_CTI_malware_CL
ZeroFox_CTI_national_ids_CL
ZeroFox_CTI_phishing_CL
ZeroFox_CTI_phone_numbers_CL
ZeroFox_CTI_ransomware_CL
ZeroFox_CTI_telegram_CL
ZeroFox_CTI_threat_actors_CL
ZeroFox_CTI_vulnerabilities_CL
Supporto regole di raccolta dati Non è al momento supportato
Supportata da: ZeroFox

Esempi di query

Log C2 CTI CTI zeroFox

ZeroFox_CTI_C2_CL

| sort by TimeGenerated desc

Log degli indirizzi di posta elettronica CTI zeroFox

ZeroFox_CTI_email_addresses_CL

| sort by TimeGenerated desc

Log malware CTI zeroFox

ZeroFox_CTI_malware_CL

| sort by TimeGenerated desc

Prerequisiti

Per eseguire l'integrazione con ZeroFox CTI (usando Funzioni di Azure) assicurarsi di avere:

  • autorizzazioni Microsoft.Web/siti: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure al fine di creare un'app per le funzioni. Vedere la documentazione per altre informazioni su Funzioni di Azure.
  • Credenziali/autorizzazioni dell'API ZeroFox: ZeroFox Username, ZeroFox Personal Access Token sono necessari per l'API REST ZeroFox CTI.

Istruzioni per l’installazione di Vendor

Nota

Questo connettore usa Funzioni di Azure per connettersi all'API REST CTI ZeroFox per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dati. Verificare la pagina prezzi di Funzioni di Azure per altre informazioni.

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'App per le funzioni di Azure.

PASSAGGIO 1 - Recupero delle credenziali ZeroFox:

Seguire queste istruzioni per configurare la registrazione e ottenere le credenziali.

  1. Accedere al sito Web di ZeroFox. usando il nome utente e la password 2: fare clic sul pulsante Impostazioni e passare alla sezione Connettori dati. 3 - Selezionare la scheda FEED DI DATI API e passare alla parte inferiore della pagina, selezionare Reimposta nella casella Informazioni API, per ottenere un token di accesso personale da usare insieme al nome utente.

**PASSAGGIO 2: Distribuire i connettori dati delle funzioni di Azure usando il modello di Azure Resource Manager: **

IMPORTANTE: prima di distribuire il connettore dati CTI ZeroFox, disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato da quanto segue), immediatamente disponibile.

Preparazione delle risorse per la distribuzione.

  1. Fare clic sul pulsante Distribuisci in Azure sotto.

    Distribuzione in Azure

  2. Selezionare la sottoscrizione preferita, il gruppo di risorse, l'area di lavoro Log Analytics e la località.

  3. Immettere l'ID dell'area di lavoro, la chiave dell'area di lavoro, il nome utente ZeroFox, il token di accesso personale ZeroFox

  5. Fare clic su Rivedi e crea per la distribuzione.

Passaggi successivi

Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.