Compartilhar via


Conector GreyNoise Threat Intelligence (usando Azure Functions) para Microsoft Sentinel

Esse Data Connector instala um aplicativo Azure Function para baixar indicadores GreyNoise uma vez por dia e os insere na tabela ThreatIntelligenceIndicator no Microsoft Sentinel.

Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics ThreatIntelligenceIndicator
Suporte às regras de coleta de dados Sem suporte no momento
Com suporte por GreyNoise

Exemplos de consulta

Todos os indicadores de APIs de Inteligência contra Ameaças

ThreatIntelligenceIndicator 
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc

Pré-requisitos

Para integrar com GreyNoise Threat Intelligence (usando Azure Functions), certifique-se de ter:

Instruções de instalação do fornecedor

Você pode conectar o GreyNoise Threat Intelligence ao Microsoft Sentinel seguindo as etapas abaixo:

As etapas a seguir criam um aplicativo do Microsoft Entra ID, recuperam uma chave de API GreyNoise e salvam os valores em uma Configuração de Aplicativos de Funções do Azure.

  1. Recupere sua chave de API do GreyNoise Visualizer.

Gere uma chave de API do GreyNoise Visualizerhttps://docs.greynoise.io/docs/using-the-greynoise-api

  1. Em seu locatário do Microsoft Entra ID, crie um aplicativo do Microsoft Entra ID e obtenha a ID de Locatário e a ID do Cliente. Além disso, obtenha o ID do espaço de trabalho do Log Analytics associado à sua instância do Microsoft Sentinel (deve ser exibido abaixo).

Siga as instruções aqui para criar seu aplicativo Microsoft Entra ID e salvar sua ID de cliente e ID de locatário: /azure/sentinel/connect-threat-intelligence-upload-api#instructions OBSERVAÇÃO: aguarde até a etapa 5 para gerar o segredo do cliente.

  1. Atribua ao aplicativo Microsoft Entra ID a Função de Colaborador do Microsoft Sentinel.

Siga as instruções aqui para adicionar a função de contribuidor do Microsoft Sentinel: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application

  1. Especifique as permissões do Microsoft Entra ID para habilitar o acesso da API do MS Graph à API de indicadores de upload.

Siga essa seção aqui para adicionar a permissão “ThreatIndicators.ReadWrite.OwnedBy” ao aplicativo Microsoft Entra ID: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. De volta ao seu aplicativo Microsoft Entra ID, garanta o consentimento de administrador para as permissões que você acabou de adicionar. Por fim, na seção ‘Tokens e APIs’, gere um segredo do cliente e salve-o. Você precisará dele na Etapa 6.

  1. Implante a solução Threat Intelligence (pré-visualização), que inclui a API de indicadores de fazer upload do Threat Intelligence (versão prévia)

Veja Microsoft Sentinel Content Hub para essa solução e instale-o na instância do Microsoft Sentinel.

  1. Implantar a Azure Function

Clique no botão Implantar no Azure.

Implantar no Azure

Preencha os valores apropriados para cada parâmetro. Esteja ciente que os únicos valores válidos para o parâmetro GREYNOISE_CLASSIFICATIONS são benigno, malicioso e/ou desconhecido, que devem ser separados por vírgula.

  1. Enviar indicadores para o Sentinel

O aplicativo de funções instalado na Etapa 6 consulta a API GreyNoise GNQL uma vez por dia e envia cada indicador encontrado no formato STIX 2.1 para a API Microsoft Upload Threat Intelligence Indicators. Cada indicador expira em aproximadamente 24 horas a partir da criação, a menos que seja encontrado na consulta do dia seguinte. Nesse caso o tempo Válido Até do Indicador TI é estendido por mais 24 horas, o que o mantém ativo no Microsoft Sentinel.

Para obter mais informações sobre a API GreyNoise e a GreyNoise Query Language (GNQL), clique aqui.

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.