Connettore GreyNoise Threat Intelligence (con Funzioni di Azure) per Microsoft Sentinel

  • Articolo

Questo data Connessione or installa un'app per le funzioni di Azure per scaricare gli indicatori GreyNoise una volta al giorno e li inserisce nella tabella ThreatIntelligenceIndicator in Microsoft Sentinel.

Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.

attributi Connessione or

Attributo Connessione or Descrizione
Tabelle di Log Analytics ThreatIntelligenceIndicator
Supporto delle regole di raccolta dati Non è al momento supportato
Supportata da: GreyNoise

Esempi di query

Tutti gli indicatori delle API di Intelligence per le minacce

ThreatIntelligenceIndicator 
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc

Prerequisiti

Per eseguire l'integrazione con GreyNoise Threat Intelligence (usando Funzioni di Azure) assicurarsi di avere:

Istruzioni di installazione fornitore

È possibile connettere GreyNoise Threat Intelligence a Microsoft Sentinel seguendo questa procedura:

La procedura seguente crea un'applicazione Azure AAD, recupera una chiave API GreyNoise e salva i valori in un Configurazione app di funzioni di Azure.

  1. Recuperare la chiave API dal visualizzatore GreyNoise.

Generare una chiave API dal visualizzatore GreyNoise https://docs.greynoise.io/docs/using-the-greynoise-api

  1. Nel tenant di Azure AD creare un'applicazione Azure Active Directory (AAD) e acquisire l'ID tenant e l'ID client. Ottenere anche l'ID dell'area di lavoro Log Analytics associato all'istanza di Microsoft Sentinel (dovrebbe essere visualizzato di seguito).

Seguire le istruzioni riportate qui per creare l'app Azure AAD e salvare l'ID client e l'ID tenant: /azure/sentinel/connect-threat-intelligence-upload-api#instructions NOTA: Attendere il passaggio 5 per generare il segreto client.

  1. Assegnare all'applicazione AAD il ruolo collaboratore di Microsoft Sentinel.

Seguire le istruzioni riportate qui per aggiungere il ruolo collaboratore di Microsoft Sentinel: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application

  1. Specificare le autorizzazioni di AAD per abilitare l'accesso dell'API Microsoft Graph all'API upload-indicators.

Seguire questa sezione per aggiungere l'autorizzazione 'ThreatIndicators.ReadWrite.OwnedBy' all'app AAD: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. Tornare all'app AAD, assicurarsi di concedere il consenso amministratore per le autorizzazioni appena aggiunte. Infine, nella sezione "Token e API" generare un segreto client e salvarlo. Sarà necessario nel passaggio 6.

  1. Distribuire la soluzione Intelligence per le minacce (anteprima), che include l'API Degli indicatori di caricamento di Intelligence per le minacce (anteprima)

Vedere Hub del contenuto di Microsoft Sentinel per questa soluzione e installarlo nell'istanza di Microsoft Sentinel.

  1. Distribuire la funzione di Azure

Fare clic sul pulsante Distribuisci in Azure.

Distribuzione in Azure

Immettere i valori appropriati per ogni parametro. Tenere presente che gli unici valori validi per il parametro GREYNOI edizione Standard_CLASSIFICATIONS sono dannosi, dannosi e/o sconosciuti, che devono essere separati da virgole.

  1. Inviare indicatori a Sentinel

L'app per le funzioni installata nel passaggio 6 esegue una query sull'API GreyNoise GNQL una volta al giorno e invia ogni indicatore trovato nel formato STIX 2.1 all'API Microsoft Upload Threat Intelligence Indicators. Ogni indicatore scade tra circa 24 ore dalla creazione, a meno che non venga trovato nella query del giorno successivo. In questo caso l'indicatore TI è valido fino a quando il tempo viene esteso per altre 24 ore, che lo mantiene attivo in Microsoft Sentinel.

Per altre informazioni sull'API GreyNoise e sul linguaggio di query GreyNoise (GNQL), fare clic qui.

Passaggi successivi

Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.