Partager via


Connecteur GreyNoise Threat Intelligence (avec Azure Functions) pour Microsoft Sentinel

Ce connecteur de données installe une application Azure Function pour télécharger les indicateurs GreyNoise une fois par jour et les insère dans la table ThreatIntelligenceIndicator dans Microsoft Sentinel.

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics ThreatIntelligenceIndicator
Prise en charge des règles de collecte de données Non prise en charge pour le moment
Pris en charge par GreyNoise

Exemples de requête

Tous les indicateurs des API de veille des menaces

ThreatIntelligenceIndicator 
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc

Prérequis

Pour intégrer GreyNoise Threat Intelligence (avec Azure Functions), vérifiez que vous disposez des éléments suivants :

Instructions d’installation du fournisseur

Vous pouvez connecter GreyNoise Threat Intelligence à Microsoft Sentinel en suivant les étapes ci-dessous :

Les étapes suivantes créent une application Microsoft Entra ID, récupèrent une clé API GreyNoise et enregistrent les valeurs dans la configuration de l’application de fonction Azure.

  1. Récupérez votre clé API à partir de GreyNoise Visualizer.

Générer une clé API à partir de GreyNoise Visualizer https://docs.greynoise.io/docs/using-the-greynoise-api

  1. Dans votre locataire Microsoft Entra ID, créez une application Microsoft Entra ID, et obtenez l’ID de locataire et l’ID client. Obtenez également l'ID de l'espace de travail Log Analytics associé à votre instance Microsoft Sentinel (il devrait s'afficher ci-dessous).

Suivez les instructions ici pour créer votre application Microsoft Entra ID, et enregistrez votre ID client et votre ID de locataire : /azure/sentinel/connect-threat-intelligence-upload-api#instructions REMARQUE : Attendez l’étape 5 pour générer votre secret client.

  1. Attribuez à l’application Microsoft Entra ID le rôle Contributeur Microsoft Sentinel.

Suivez les instructions ci-dessous pour ajouter le rôle de Contributeur Microsoft Sentinel : /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application

  1. Spécifiez les autorisations Microsoft Entra ID pour activer l’accès à l’API MS Graph pour l’API de chargement d’indicateurs.

Suivez cette section ici pour ajouter l’autorisation 'ThreatIndicators.ReadWrite.OwnedBy' à l’application Microsoft Entra ID : /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. De retour dans votre application Microsoft Entra ID, veillez à accorder le consentement administrateur pour les autorisations que vous venez d’ajouter. Enfin, dans la section « Jetons et API », générez une clé secrète client et enregistrez-la. Vous en aurez besoin à l’étape 6.

  1. Déployer la solution Informations sur les menaces (préversion), qui inclut l’API de chargement d’indicateurs d’Informations sur les menaces (préversion)

Consultez le Hub de contenu Microsoft Sentinel pour cette solution, et installez-la dans l'instance Microsoft Sentinel.

  1. Déployer la fonction Azure

Cliquez sur le bouton Déployer dans Azure.

Déployer sur Azure

Renseignez les valeurs appropriées pour chaque paramètre. N’oubliez pas que les seules valeurs valides pour le paramètre GREYNOISE_CLASSIFICATIONS sont benign, malicious et/ou unknown, qui doivent être séparés par des virgules.

  1. Envoyer des indicateurs à Sentinel

L’application de fonction installée à l’étape 6 interroge l’API GreyNoise GNQL une fois par jour et envoie chaque indicateur trouvé au format STIX 2.1 à l’l’API de chargement des indicateurs d’Informations sur les menaces de Microsoft. Chaque indicateur expire environ 24 heures après sa création, sauf s'il est trouvé dans la requête du jour suivant. Dans ce cas, le temps de validité (Valide jusqu’à) de l’indicateur TI est prolongé de 24 heures, ce qui le maintient actif dans Microsoft Sentinel.

Pour plus d’informations sur l’API GreyNoise et le langage de requête GreyNoise (GNQL), cliquez ici.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.