Łącznik GreyNoise Threat Intelligence (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel
Ten łącznik danych instaluje aplikację funkcji platformy Azure, aby pobrać wskaźniki GreyNoise raz dziennie i wstawia je do tabeli ThreatIntelligenceIndicator w usłudze Microsoft Sentinel.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
Atrybuty łącznika
| Atrybut łącznika | opis |
|---|---|
| Tabele usługi Log Analytics | ThreatIntelligenceIndicator |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | GreyNoise |
Przykłady zapytań
Wszystkie wskaźniki interfejsów API analizy zagrożeń
ThreatIntelligenceIndicator
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc
Wymagania wstępne
Aby zintegrować aplikację GreyNoise Threat Intelligence (przy użyciu usługi Azure Functions), upewnij się, że:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- GreyNoise API Key( Klucz interfejsu API GreyNoise): pobierz klucz interfejsu API GreyNoise tutaj.
Instrukcje instalacji dostawcy
Możesz połączyć usługę GreyNoise Threat Intelligence z usługą Microsoft Sentinel, wykonując poniższe kroki:
Poniższe kroki umożliwiają utworzenie aplikacji Microsoft Entra ID, pobranie klucza interfejsu API GreyNoise i zapisanie wartości w usłudze Azure Function App Configuration.
- Pobierz klucz interfejsu API z narzędzia GreyNoise Visualizer.
Generowanie klucza interfejsu API na podstawie narzędzia GreyNoise Visualizer https://docs.greynoise.io/docs/using-the-greynoise-api
- W dzierżawie microsoft Entra ID utwórz aplikację Microsoft Entra ID i uzyskaj identyfikator dzierżawy i identyfikator klienta. Ponadto pobierz identyfikator obszaru roboczego usługi Log Analytics skojarzony z wystąpieniem usługi Microsoft Sentinel (powinien zostać wyświetlony poniżej).
Postępuj zgodnie z instrukcjami podanymi tutaj, aby utworzyć aplikację Microsoft Entra ID i zapisać identyfikator klienta i identyfikator dzierżawy: /azure/sentinel/connect-threat-intelligence-upload-api#instructions UWAGA: Poczekaj do kroku 5, aby wygenerować klucz tajny klienta.
- Przypisz aplikację Microsoft Entra ID rolę współautora usługi Microsoft Sentinel.
Postępuj zgodnie z instrukcjami podanymi tutaj, aby dodać rolę współautora usługi Microsoft Sentinel: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application
- Określ uprawnienia identyfikatora entra firmy Microsoft, aby włączyć dostęp interfejsu API programu MS Graph do interfejsu API przekazywania wskaźników.
Postępuj zgodnie z tą sekcją tutaj, aby dodać uprawnienie "ThreatIndicators.ReadWrite.OwnedBy" do aplikacji Microsoft Entra ID: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. Po powrocie do aplikacji Microsoft Entra ID upewnij się, że udzielasz zgody administratora na właśnie dodane uprawnienia. Na koniec w sekcji "Tokeny i interfejsy API" wygeneruj klucz tajny klienta i zapisz go. Będzie on potrzebny w kroku 6.
- Wdrażanie rozwiązania analizy zagrożeń (wersja zapoznawcza), które obejmuje interfejs API wskaźników przekazywania analizy zagrożeń (wersja zapoznawcza)
Zobacz Centrum zawartości usługi Microsoft Sentinel dla tego rozwiązania i zainstaluj je w wystąpieniu usługi Microsoft Sentinel.
- Wdrażanie funkcji platformy Azure
Kliknij przycisk Wdróż na platformie Azure.
Wypełnij odpowiednie wartości dla każdego parametru. Należy pamiętać , że jedyne prawidłowe wartości parametru GREYNOISE_CLASSIFICATIONS są łagodne, złośliwe i/lub nieznane, które muszą być rozdzielone przecinkami.
- Wysyłanie wskaźników do usługi Sentinel
Aplikacja funkcji zainstalowana w kroku 6 wysyła zapytanie do interfejsu API GreyNoise GNQL raz dziennie i przesyła każdy wskaźnik w formacie STIX 2.1 do interfejsu API wskaźników analizy zagrożeń przekazywania przez firmę Microsoft. Każdy wskaźnik wygasa w ciągu około 24 godzin od utworzenia, chyba że zostanie znaleziony w następnym dniu zapytania. W tym przypadku prawidłowy czas wskaźnika TI zostanie przedłużony przez kolejne 24 godziny, co utrzymuje jego aktywną w usłudze Microsoft Sentinel.
Aby uzyskać więcej informacji na temat interfejsu API GreyNoise i języka zapytań GreyNoise (GNQL), kliknij tutaj.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.