Microsoft Sentinel 用 GreyNoise 脅威インテリジェンス (Azure Functions を使用) コネクタ
このデータ コネクタは、Azure Function アプリをインストールして 1 日に 1 回 GreyNoise インジケーターをダウンロードし、Microsoft Sentinel の ThreatIntelligenceIndicator テーブルに挿入します。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | ThreatIntelligenceIndicator |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | GreyNoise |
クエリのサンプル
すべての Threat Intelligence API インジケーター
ThreatIntelligenceIndicator
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc
前提条件
GreyNoise 脅威インテリジェンス (Azure Functions を使用) と統合するには、次のものがあることを確認します。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
- GreyNoise API キー: ここで GreyNoise API キーを取得します。
ベンダーのインストール手順
次の手順に従って、GrayNoise 脅威インテリジェンスを Microsoft Sentinel に接続できます。
次の手順では、Azure AAD アプリケーションを作成し、GrayNoise API キーを取得して、Azure Function アプリ構成に値を保存します。
- GrayNoise ビジュアライザーから API キーを取得します。
GrayNoise ビジュアライザーから API キーを生成する https://docs.greynoise.io/docs/using-the-greynoise-api
- Azure AD テナントで、Azure Active Directory (AAD) アプリケーションを作成し、テナント ID とクライアント ID を取得します。 また、Microsoft Sentinel インスタンスに関連付けられている Log Analytics ワークスペース ID を取得します (下に表示されます)。
ここでの手順に従って Azure AAD アプリを作成し、クライアント ID とテナント ID を保存します。/azure/sentinel/connect-threat-intelligence-upload-api#instructions 注: 手順 5 まで待ってクライアント シークレットを生成します。
- AAD アプリケーションに Microsoft Sentinel 共同作成者ロールを割り当てます。
Microsoft Sentinel 共同作成者ロールを追加するには、次の手順に従います。 /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application
- アップロード インジケーター API への MS Graph API アクセスを有効にする AAD アクセス許可を指定します。
AAD アプリに 'ThreatIndicators.ReadWrite.OwnedBy' アクセス許可を追加するには、このセクションに従います: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application。 AAD アプリに戻り、先ほど追加したアクセス許可に対して管理者の同意を付与してください。 最後に、[トークンと API] セクションで、クライアント シークレットを生成して保存します。 手順 6 で必要になります。
- 脅威インテリジェンスアップロード インジケーター API (プレビュー) を含む脅威インテリジェンス (プレビュー) ソリューションをデプロイします
このソリューションについては、Microsoft Sentinel コンテンツ ハブを参照し、Microsoft Sentinel インスタンスにインストールします。
- Azure 関数のデプロイ
[Deploy to Azure] (Azure にデプロイ) ボタンをクリックします。
各パラメーターに適切な値を入力します。 GREYNOISE_CLASSIFICATIONS パラメーターの有効な値は benign、malicious、unknown (あるいはその両方) のみであり、これらはカンマで区切る必要があることに注意してください。
- Sentinel にインジケーターを送信する
手順 6 でインストールされた関数アプリは、1 日に 1 回 GrayNoise GNQL API に対してクエリを実行し、STIX 2.1 形式で見つかった各インジケーターを Microsoft Upload Threat Intelligence Indicators API に送信します。 各インジケーターは、次の日のクエリで見つからない限り、作成から約 24 時間で期限切れになります。 この場合、TI インジケーターの有効期限はさらに 24 時間延長され、Microsoft Sentinel でアクティブな状態が維持されます。
GrayNoise API と GrayNoise クエリ言語 (GNQL) の詳細については、ここをクリックしてください。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。