موصل تحليل ذكي للمخاطر (باستخدام Azure Functions) ل Microsoft Sentinel
يقوم موصل البيانات هذا بتثبيت تطبيق Azure Function لتنزيل مؤشرات GreyNoise مرة واحدة يوميا وإدراجها في جدول ThreatIntelligenceIndicator في Microsoft Sentinel.
هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.
سمات الموصل
| سمة الموصل | الوصف |
|---|---|
| جدول (جداول) Log Analytics | ThreatIntelligenceIndicator |
| دعم قواعد جمع البيانات | غير مدعوم حاليًا |
| مدعومة من قبل | غراي نويز |
عينات الاستعلام
جميع مؤشرات واجهات برمجة تطبيقات التحليل الذكي للمخاطر
ThreatIntelligenceIndicator
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc
المتطلبات الأساسية
للتكامل مع تحليل ذكي للمخاطر من GreyNoise (باستخدام Azure Functions) تأكد من أن لديك:
- أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى Azure Functions لإنشاء تطبيق دالة. راجع الوثائق لمعرفة المزيد حول Azure Functions.
- مفتاح واجهة برمجة تطبيقات GreyNoise: استرداد مفتاح واجهة برمجة تطبيقات GreyNoise هنا.
إرشادات تثبيت المورد
يمكنك توصيل تحليل ذكي للمخاطر في غراينويز ب Microsoft Sentinel باتباع الخطوات التالية:
تنشئ الخطوات التالية تطبيق معرف Microsoft Entra، وتسترد مفتاح واجهة برمجة تطبيقات GreyNoise، وتحفظ القيم في تكوين تطبيق Azure Function.
- استرداد مفتاح API الخاص بك من Visualizer GreyNoise.
إنشاء مفتاح API من Visualizer GreyNoise https://docs.greynoise.io/docs/using-the-greynoise-api
- في مستأجر Microsoft Entra ID، قم بإنشاء تطبيق معرف Microsoft Entra والحصول على معرف المستأجر ومعرف العميل. أيضا، احصل على معرف مساحة عمل Log Analytics المقترن بمثيل Microsoft Sentinel (يجب عرضه أدناه).
اتبع الإرشادات هنا لإنشاء تطبيق معرف Microsoft Entra وحفظ معرف العميل ومعرف المستأجر: /azure/sentinel/connect-threat-intelligence-upload-api#instructions ملاحظة: انتظر حتى الخطوة 5 لإنشاء سر العميل.
- تعيين تطبيق معرف Microsoft Entra دور المساهم في Microsoft Sentinel.
اتبع الإرشادات هنا لإضافة دور مساهم Microsoft Sentinel: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application
- حدد أذونات معرف Microsoft Entra لتمكين وصول MS Graph API إلى واجهة برمجة تطبيقات مؤشرات التحميل.
اتبع هذا القسم هنا لإضافة إذن 'ThreatIndicators.ReadWrite.OwnedBy' إلى تطبيق معرف Microsoft Entra: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. مرة أخرى في تطبيق معرف Microsoft Entra، تأكد من منح موافقة المسؤول للأذونات التي أضفتها للتو. وأخيرا، في قسم "الرموز المميزة وواجهات برمجة التطبيقات"، قم بإنشاء سر العميل وحفظه. ستحتاج إليه في الخطوة 6.
- نشر حل التحليل الذكي للمخاطر (معاينة)، والذي يتضمن واجهة برمجة تطبيقات مؤشرات تحميل التحليل الذكي للمخاطر (معاينة)
راجع مركز محتوى Microsoft Sentinel لهذا الحل، وقم بتثبيته في مثيل Microsoft Sentinel.
- نشر Azure Function
انقر فوق زر "Deploy to Azure".
املأ القيم المناسبة لكل معلمة. يجب أن تدرك أن القيم الصالحة الوحيدة للمعلمة GREYNOISE_CLASSIFICATIONS هي قيم حميدة أو ضارة و/أو غير معروفة، والتي يجب فصلها بفواصل.
- إرسال مؤشرات إلى Sentinel
يستعلم تطبيق الدالة المثبت في الخطوة 6 عن واجهة برمجة تطبيقات GNQL الرمادية مرة واحدة في اليوم، ويرسل كل مؤشر موجود بتنسيق STIX 2.1 إلى واجهة برمجة تطبيقات مؤشرات التحليل الذكي للمخاطر من Microsoft Upload. تنتهي صلاحية كل مؤشر في حوالي 24 ساعة من الإنشاء ما لم يتم العثور عليه في استعلام اليوم التالي. في هذه الحالة، يكون مؤشر TI صالحا حتى يتم تمديد الوقت لمدة 24 ساعة أخرى، ما يبقيه نشطا في Microsoft Sentinel.
لمزيد من المعلومات حول واجهة برمجة تطبيقات GreyNoise ولغة الاستعلام الرمادي (GNQL)، انقر هنا.
الخطوات التالية
لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.