Konektor GreyNoise Threat Intelligence (menggunakan Azure Functions) untuk Microsoft Sentinel
Konektor Data ini menginstal aplikasi Azure Function untuk mengunduh indikator GreyNoise sekali per hari dan menyisipkannya ke dalam tabel ThreatIntelligenceIndicator di Microsoft Azure Sentinel.
Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.
Atribut konektor
Atribut konektor | Deskripsi |
---|---|
Tabel Log Analytics | ThreatIntelligenceIndicator |
Dukungan aturan pengumpulan data | Saat ini tidak didukung |
Didukung oleh | GreyNoise |
Kueri sampel
Semua Indikator API Inteligensi Ancaman
ThreatIntelligenceIndicator
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc
Prasyarat
Untuk berintegrasi dengan GreyNoise Threat Intelligence (menggunakan Azure Functions) pastikan Anda memiliki:
- Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
- Kunci API GreyNoise: Ambil Kunci API GreyNoise Anda di sini.
Instruksi penginstalan vendor
Anda dapat menyambungkan GreyNoise Threat Intelligence ke Microsoft Azure Sentinel dengan mengikuti langkah-langkah di bawah ini:
Langkah-langkah berikut membuat aplikasi ID Microsoft Entra, mengambil kunci API GreyNoise, dan menyimpan nilai dalam Azure Function App Configuration.
- Ambil Kunci API Anda dari GreyNoise Visualizer.
Membuat kunci API dari GreyNoise Visualizer https://docs.greynoise.io/docs/using-the-greynoise-api
- Di penyewa MICROSOFT Entra ID Anda, buat aplikasi ID Microsoft Entra dan dapatkan ID Penyewa dan ID Klien. Selain itu, dapatkan ID Ruang Kerja Analitik Log yang terkait dengan instans Microsoft Sentinel Anda (harus ditampilkan di bawah).
Ikuti instruksi di sini untuk membuat aplikasi ID Microsoft Entra Anda dan menyimpan ID Klien dan ID Penyewa Anda: /azure/sentinel/connect-threat-intelligence-upload-api#instructions NOTE: Tunggu hingga langkah 5 untuk menghasilkan rahasia klien Anda.
- Tetapkan aplikasi ID Microsoft Entra peran Kontributor Microsoft Sentinel.
Ikuti instruksi di sini untuk menambahkan Peran Kontributor Microsoft Sentinel: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application
- Tentukan izin ID Microsoft Entra untuk mengaktifkan akses MS Graph API ke API indikator unggahan.
Ikuti bagian ini di sini untuk menambahkan izin 'ThreatIndicators.ReadWrite.OwnedBy' ke Aplikasi ID Microsoft Entra: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. Kembali ke Aplikasi ID Microsoft Entra Anda, pastikan Anda memberikan persetujuan admin untuk izin yang baru saja Anda tambahkan. Terakhir, di bagian 'Token dan API', buat rahasia klien dan simpan. Anda akan membutuhkannya di Langkah 6.
- Menyebarkan Solusi Inteligensi Ancaman (Pratinjau) , yang mencakup API Indikator Pengunggahan Inteligensi Ancaman (Pratinjau)
Lihat Hub Konten Microsoft Sentinel untuk Solusi ini, dan instal di instans Microsoft Azure Sentinel.
- Menggunakan Azure Function
Klik tombol Sebarkan ke Azure.
Isi nilai yang sesuai untuk setiap parameter. Ketahuilah bahwa satu-satunya nilai yang valid untuk parameter GREYNOISE_CLASSIFICATIONS jinak, berbahaya, dan/atau tidak diketahui, yang harus dipisahkan koma.
- Kirim indikator ke Sentinel
Aplikasi fungsi yang diinstal di Langkah 6 meminta GreyNoise GNQL API sekali per hari, dan mengirimkan setiap indikator yang ditemukan dalam format STIX 2.1 ke API Indikator Inteligensi Ancaman Unggah Microsoft. Setiap indikator kedaluwarsa dalam ~24 jam dari pembuatan kecuali ditemukan pada kueri hari berikutnya. Dalam hal ini Valid Until time Indikator TI diperpanjang selama 24 jam lagi, yang membuatnya tetap aktif di Microsoft Azure Sentinel.
Untuk informasi selengkapnya tentang GreyNoise API dan GreyNoise Query Language (GNQL), klik di sini.
Langkah berikutnya
Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.