Connecteur GreyNoise Threat Intelligence (avec Azure Functions) pour Microsoft Sentinel
Ce connecteur de données installe une application Azure Function pour télécharger les indicateurs GreyNoise une fois par jour et les insère dans la table ThreatIntelligenceIndicator dans Microsoft Sentinel.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | ThreatIntelligenceIndicator |
| Prise en charge des règles de collecte de données | Non prise en charge pour le moment |
| Pris en charge par | GreyNoise |
Exemples de requête
Tous les indicateurs des API de veille des menaces
ThreatIntelligenceIndicator
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc
Prérequis
Pour intégrer GreyNoise Threat Intelligence (avec Azure Functions), vérifiez que vous disposez des éléments suivants :
- Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Veuillez consulter la documentation si vous souhaitez en savoir plus sur Azure Functions.
- Clé API GreyNoise : récupérez votre clé API GreyNoise ici.
Instructions d’installation du fournisseur
Vous pouvez connecter GreyNoise Threat Intelligence à Microsoft Sentinel en suivant les étapes ci-dessous :
Les étapes suivantes créent une application Azure AAD, récupèrent une clé d'API GreyNoise, et enregistrent les valeurs dans la configuration de l’application Azure Function.
- Récupérez votre clé API à partir de GreyNoise Visualizer.
Générer une clé API à partir de GreyNoise Visualizer https://docs.greynoise.io/docs/using-the-greynoise-api
- Dans votre locataire Azure AD, créez une application Azure Active Directory (AAD) et achetez l’ID locataire et l’ID client. Obtenez également l'ID de l'espace de travail Log Analytics associé à votre instance Microsoft Sentinel (il devrait s'afficher ci-dessous).
Suivez les instructions ci-dessous pour créer votre application Azure AAD et enregistrez votre ID client et votre ID locataire : /azure/sentinel/connect-threat-intelligence-upload-api#instructions REMARQUE : Attendez jusqu’à l’étape 5 pour générer votre clé secrète client.
- Attribuez à l’application AAD le rôle de Contributeur Microsoft Sentinel.
Suivez les instructions ci-dessous pour ajouter le rôle de Contributeur Microsoft Sentinel : /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application
- Spécifiez les autorisations AAD pour activer l'accès à l'API MS Graph pour l'API de chargement d'indicateurs.
Suivez cette section ici pour ajouter l’autorisation 'ThreatIndicators.ReadWrite.OwnedBy' à l’application AAD : /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. De retour dans votre application AAD, veillez à accorder le consentement administrateur pour les autorisations que vous venez d’ajouter. Enfin, dans la section « Jetons et API », générez une clé secrète client et enregistrez-la. Vous en aurez besoin à l’étape 6.
- Déployer la solution Informations sur les menaces (préversion), qui inclut l’API de chargement d’indicateurs d’Informations sur les menaces (préversion)
Consultez le Hub de contenu Microsoft Sentinel pour cette solution, et installez-la dans l'instance Microsoft Sentinel.
- Déployer la fonction Azure
Cliquez sur le bouton Déployer dans Azure.
Renseignez les valeurs appropriées pour chaque paramètre. N’oubliez pas que les seules valeurs valides pour le paramètre GREYNOISE_CLASSIFICATIONS sont benign, malicious et/ou unknown, qui doivent être séparés par des virgules.
- Envoyer des indicateurs à Sentinel
L’application de fonction installée à l’étape 6 interroge l’API GreyNoise GNQL une fois par jour et envoie chaque indicateur trouvé au format STIX 2.1 à l’l’API de chargement des indicateurs d’Informations sur les menaces de Microsoft. Chaque indicateur expire environ 24 heures après sa création, sauf s'il est trouvé dans la requête du jour suivant. Dans ce cas, le temps de validité (Valide jusqu’à) de l’indicateur TI est prolongé de 24 heures, ce qui le maintient actif dans Microsoft Sentinel.
Pour plus d’informations sur l’API GreyNoise et le langage de requête GreyNoise (GNQL), cliquez ici.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.