Megosztás a következőn keresztül:

GreyNoise Threat Intelligence (az Azure Functions használatával) összekötő a Microsoft Sentinelhez

  • Cikk

Ez a Data Connector egy Azure-függvényalkalmazást telepít, amely naponta egyszer letölti a GreyNoise jelzőket, és beszúrja őket a Microsoft Sentinel ThreatIntelligenceIndicator táblájába.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Összekötő attribútumai

Összekötő attribútum Leírás
Log Analytics-tábla(ok) ThreatIntelligenceIndicator
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: GreyNoise

Példák lekérdezésekre

Minden fenyegetésintelligencia API-mutató

ThreatIntelligenceIndicator 
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc

Előfeltételek

A GreyNoise Threat Intelligencerel való integráláshoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:

  • Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
  • GreyNoise API-kulcs: Itt lekérheti a GreyNoise API-kulcsot.

Szállító telepítési útmutatója

A GreyNoise Threat Intelligencet az alábbi lépések végrehajtásával csatlakoztathatja a Microsoft Sentinelhez:

Az alábbi lépések létrehoznak egy Microsoft Entra ID-alkalmazást, lekérnek egy GreyNoise API-kulcsot, és egy Azure-függvényalkalmazás-konfigurációban menti az értékeket.

  1. Kérje le az API-kulcsot a GreyNoise Visualizerből.

API-kulcs létrehozása a GreyNoise Visualizerből https://docs.greynoise.io/docs/using-the-greynoise-api

  1. A Microsoft Entra ID-bérlőben hozzon létre egy Microsoft Entra ID-alkalmazást, és szerezze be a bérlőazonosítót és az ügyfél-azonosítót. Kérje le a Microsoft Sentinel-példányhoz társított Log Analytics-munkaterület azonosítóját is (az alábbiakban kell megjelennie).

Kövesse az itt található utasításokat a Microsoft Entra ID-alkalmazás létrehozásához, és mentse az ügyfél-azonosítóját és a bérlőazonosítóját: /azure/sentinel/connect-threat-intelligence-upload-api#instructions MEGJEGYZÉS: Várjon, amíg az 5. lépésben létrehozza az ügyfél titkos kódját.

  1. Rendelje hozzá a Microsoft Entra ID alkalmazást a Microsoft Sentinel közreműködői szerepköréhez.

Kövesse az alábbi utasításokat a Microsoft Sentinel közreműködői szerepkör hozzáadásához: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application

  1. Adja meg a Microsoft Entra id engedélyeit, amelyek lehetővé teszik az MS Graph API-nak a feltöltésjelzők API-hoz való hozzáférését.

Ezt a szakaszt követve adja hozzá a "ThreatIndicators.ReadWrite.OwnedBy" engedélyt a Microsoft Entra ID Alkalmazáshoz: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. A Microsoft Entra ID alkalmazásba visszatérve győződjön meg arról, hogy rendszergazdai hozzájárulást ad az imént hozzáadott engedélyekhez. Végül a Jogkivonatok és API-k szakaszban hozzon létre egy titkos ügyfélkulcsot, és mentse azt. A 6. lépésben szüksége lesz rá.

  1. A Fenyegetésintelligencia (előzetes verzió) megoldás üzembe helyezése, amely magában foglalja a Threat Intelligence Upload Indicators API-t (előzetes verzió)

A megoldáshoz tekintse meg a Microsoft Sentinel Content Hubot, és telepítse a Microsoft Sentinel-példányban.

  1. Az Azure-függvény üzembe helyezése

Kattintson az Üzembe helyezés az Azure-ban gombra.

Üzembe helyezés az Azure-ban

Adja meg az egyes paraméterek megfelelő értékeit. Vegye figyelembe , hogy az GREYNOISE_CLASSIFICATIONS paraméter egyetlen érvényes értéke jóindulatú, rosszindulatú és/vagy ismeretlen, amelyet vesszővel kell elválasztani.

  1. Jelzők küldése a Sentinelnek

A 6. lépésben telepített függvényalkalmazás naponta egyszer lekérdezi a GreyNoise GNQL API-t, és elküldi a STIX 2.1 formátumban talált összes mutatót a Microsoft Upload Threat Intelligence Indicators API-nak. Minden mutató a létrehozástól számított ~24 órán belül lejár, kivéve, ha a következő napi lekérdezésben nem található. Ebben az esetben a TI-mutató érvényes időtartama további 24 órára meghosszabbodik, ami a Microsoft Sentinelben is aktív marad.

A GreyNoise API-val és a GNQL-rel kapcsolatos további információkért kattintson ide.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.