Conector GreyNoise Threat Intelligence (usando Azure Functions) para Microsoft Sentinel

Esse Data Connector instala um aplicativo Azure Function para baixar indicadores GreyNoise uma vez por dia e os insere na tabela ThreatIntelligenceIndicator no Microsoft Sentinel.

Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Exemplos de consulta

Todos os indicadores de APIs de Inteligência contra Ameaças

ThreatIntelligenceIndicator 
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc

Pré-requisitos

Para integrar com GreyNoise Threat Intelligence (usando Azure Functions), certifique-se de ter:

• Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
• Chave de API GreyNoise: recupere sua chave de API GreyNoise aqui.

Instruções de instalação do fornecedor

Você pode conectar o GreyNoise Threat Intelligence ao Microsoft Sentinel seguindo as etapas abaixo:

As etapas a seguir criam um aplicativo do Microsoft Entra ID, recuperam uma chave de API GreyNoise e salvam os valores em uma Configuração de Aplicativos de Funções do Azure.

1. Recupere sua chave de API do GreyNoise Visualizer.

Gere uma chave de API do GreyNoise Visualizerhttps://docs.greynoise.io/docs/using-the-greynoise-api

2. Em seu locatário do Microsoft Entra ID, crie um aplicativo do Microsoft Entra ID e obtenha a ID de Locatário e a ID do Cliente. Além disso, obtenha o ID do espaço de trabalho do Log Analytics associado à sua instância do Microsoft Sentinel (deve ser exibido abaixo).

Siga as instruções aqui para criar seu aplicativo Microsoft Entra ID e salvar sua ID de cliente e ID de locatário: /azure/sentinel/connect-threat-intelligence-upload-api#instructions OBSERVAÇÃO: aguarde até a etapa 5 para gerar o segredo do cliente.

3. Atribua ao aplicativo Microsoft Entra ID a Função de Colaborador do Microsoft Sentinel.

Siga as instruções aqui para adicionar a função de contribuidor do Microsoft Sentinel: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application

4. Especifique as permissões do Microsoft Entra ID para habilitar o acesso da API do MS Graph à API de indicadores de upload.

Siga essa seção aqui para adicionar a permissão “ThreatIndicators.ReadWrite.OwnedBy” ao aplicativo Microsoft Entra ID: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. De volta ao seu aplicativo Microsoft Entra ID, garanta o consentimento de administrador para as permissões que você acabou de adicionar. Por fim, na seção ‘Tokens e APIs’, gere um segredo do cliente e salve-o. Você precisará dele na Etapa 6.

5. Implante a solução Threat Intelligence (pré-visualização), que inclui a API de indicadores de fazer upload do Threat Intelligence (versão prévia)

Veja Microsoft Sentinel Content Hub para essa solução e instale-o na instância do Microsoft Sentinel.

6. Implantar a Azure Function

Clique no botão Implantar no Azure.

Preencha os valores apropriados para cada parâmetro. Esteja ciente que os únicos valores válidos para o parâmetro GREYNOISE_CLASSIFICATIONS são benigno, malicioso e/ou desconhecido, que devem ser separados por vírgula.

7. Enviar indicadores para o Sentinel

O aplicativo de funções instalado na Etapa 6 consulta a API GreyNoise GNQL uma vez por dia e envia cada indicador encontrado no formato STIX 2.1 para a API Microsoft Upload Threat Intelligence Indicators. Cada indicador expira em aproximadamente 24 horas a partir da criação, a menos que seja encontrado na consulta do dia seguinte. Nesse caso o tempo Válido Até do Indicador TI é estendido por mais 24 horas, o que o mantém ativo no Microsoft Sentinel.

Para obter mais informações sobre a API GreyNoise e a GreyNoise Query Language (GNQL), clique aqui.

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.