Microsoft Sentinel용 GreyNoise 위협 인텔리전스(Azure Functions 사용) 커넥터
이 데이터 커넥터는 Azure 함수 앱을 설치하여 하루에 한 번 GreyNoise 표시기를 다운로드하고 이를 Microsoft Sentinel의 ThreatIntelligenceIndicator 테이블에 삽입합니다.
자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.
커넥터 특성
| 커넥터 특성 | 설명 |
|---|---|
| Log Analytics 테이블 | ThreatIntelligenceIndicator |
| 데이터 수집 규칙 지원 | 현재 지원되지 않음 |
| 다음에서 지원 | GreyNoise |
쿼리 샘플
모든 위협 인텔리전스 API 표시기
ThreatIntelligenceIndicator
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc
필수 조건
GreyNoise 위협 인텔리전스(Azure Functions 사용)와 통합하려면 다음 사항을 확인합니다.
- Microsoft.Web/sites 권한: 함수 앱을 만들려면 Azure Functions에 대한 읽기 및 쓰기 권한이 필요합니다. Azure Functions에 대해 자세히 알아보려면 설명서를 참조하세요.
- GreyNoise API 키: GreyNoise API 키를 여기에서 검색합니다.
공급업체 설치 지침
아래 단계에 따라 GreyNoise 위협 인텔리전스를 Microsoft Sentinel에 연결할 수 있습니다.
다음 단계에서는 Azure AAD 애플리케이션을 만들고, GreyNoise API 키를 검색하고, Azure 함수 App Configuration에 값을 저장합니다.
- GreyNoise 시각화 도우미에서 API 키를 검색합니다.
https://docs.greynoise.io/docs/using-the-greynoise-api GreyNoise 시각화 도우미에서 API 키 생성
- Azure AD 테넌트에서 AAD(Azure Active Directory) 애플리케이션을 만들고 테넌트 ID 및 클라이언트 ID를 가져오세요. 또한 Microsoft Sentinel 인스턴스와 연결된 Log Analytics 작업 영역 ID를 가져오세요(아래에 표시됩니다).
/azure/sentinel/connect-threat-intelligence-upload-api#instructions의 지침에 따라 Azure AAD 앱을 만들고 클라이언트 ID와 테넌트 ID를 저장하세요. 참고: 5단계까지 기다렸다가 클라이언트 암호를 생성하세요.
- AAD 애플리케이션에 Microsoft Sentinel 기여자 역할을 할당합니다.
/azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application의 지침에 따라 Microsoft Sentinel 기여자 역할을 추가하세요.
- 업로드 표시기 API에 대한 MS Graph API 액세스를 사용하도록 설정하려면 AAD 권한을 지정합니다.
/azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application 섹션에 따라 AAD 앱에 'ThreatIndicators.ReadWrite.OwnedBy' 권한을 추가하세요. AAD 앱으로 돌아가서 방금 추가한 권한에 대해 관리자 동의를 부여했는지 확인합니다. 마지막으로 '토큰 및 API' 섹션에서 클라이언트 암호를 생성하고 저장합니다. 6단계에서 필요합니다.
- 위협 인텔리전스 업로드 지표 API(미리 보기)를 포함하는 위협 인텔리전스(미리 보기) 솔루션 배포
이 솔루션에 관한 정보는 Microsoft Sentinel 콘텐츠 허브를 참조하고 Microsoft Sentinel 인스턴스에 설치하세요.
- Azure Function 배포
Azure에 배포 단추를 클릭합니다.
각 매개 변수에 적절한 값을 입력합니다. GREYNOISE_CLASSIFICATIONS 매개 변수에 유효한 유일한 값은 benign, malicious 및/또는 unknown으로, 쉼표로 구분해야 한다는 점에 유의하세요.
- Sentinel에 표시기 보내기
6단계에서 설치된 함수 앱은 하루에 한 번씩 GreyNoise GNQL API를 쿼리하고 STIX 2.1 형식으로 발견된 각 표시기를 Microsoft 업로드 위협 인텔리전스 표시기 API에 제출합니다. 다음 날 쿼리에서 표시되는 경우를 제외하고 각 지표는 생성 후 24시간 이내에 만료됩니다. 이 경우 TI 지표의 유효 시간이 24시간 더 연장되어 Microsoft Sentinel에서 활성 상태로 유지됩니다.
GreyNoise API 및 GNQL(GreyNoise 쿼리 언어)에 관한 자세한 내용을 보려면 여기를 클릭하세요.
다음 단계
자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.