Conector GreyNoise Threat Intelligence (usando Azure Functions) para Microsoft Sentinel

  • Artigo

Esse Data Connector instala um aplicativo Azure Function para baixar indicadores GreyNoise uma vez por dia e os insere na tabela ThreatIntelligenceIndicator no Microsoft Sentinel.

Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o fornecedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics ThreatIntelligenceIndicator
Suporte às regras de coleta de dados Sem suporte no momento
Com suporte por GreyNoise

Exemplos de consulta

Todos os indicadores de APIs de Inteligência contra Ameaças

ThreatIntelligenceIndicator 
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc

Pré-requisitos

Para integrar com GreyNoise Threat Intelligence (usando Azure Functions), certifique-se de ter:

Instruções de instalação do fornecedor

Você pode conectar o GreyNoise Threat Intelligence ao Microsoft Sentinel seguindo as etapas abaixo:

As etapas a seguir criam um aplicativo Azure AAD, recuperam uma chave de API GreyNoise e salvam os valores em uma configuração de aplicativo de função Azure.

  1. Recupere sua chave de API do GreyNoise Visualizer.

Gere uma chave de API do GreyNoise Visualizerhttps://docs.greynoise.io/docs/using-the-greynoise-api

  1. No seu locatário do Azure AD, crie um aplicativo Azure Active Directory (AAD) e adquira a ID do locatário e a ID do cliente. Além disso, obtenha o ID do espaço de trabalho do Log Analytics associado à sua instância do Microsoft Sentinel (deve ser exibido abaixo).

Siga as instruções aqui para criar seu aplicativo Azure AAD e salvar sua ID de cliente e ID de locatário: /azure/sentinel/connect-threat-intelligence-upload-api#instructions OBSERVAÇÃO: Aguarde até a etapa 5 para gerar o segredo do cliente.

  1. Atribua ao aplicativo AAD a função de Colaborador do Microsoft Sentinel.

Siga as instruções aqui para adicionar a função de contribuidor do Microsoft Sentinel: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application

  1. Especifique as permissões do AAD para habilitar o acesso da API do MS API do Graph de indicadores de upload.

Siga essa seção aqui para adicionar a permissão “ThreatIndicators.ReadWrite.OwnedBy” ao aplicativo AAD: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. De volta ao seu aplicativo AAD, garanta o consentimento do administrador para as permissões que você acabou de adicionar. Por fim, na seção ‘Tokens e APIs’, gere um segredo do cliente e salve-o. Você precisará dele na Etapa 6.

  1. Implante a solução Threat Intelligence (pré-visualização), que inclui a API de indicadores de fazer upload do Threat Intelligence (versão prévia)

Veja Microsoft Sentinel Content Hub para essa solução e instale-o na instância do Microsoft Sentinel.

  1. Implantar a Azure Function

Clique no botão Implantar no Azure.

Implantar no Azure

Preencha os valores apropriados para cada parâmetro. Esteja ciente que os únicos valores válidos para o parâmetro GREYNOISE_CLASSIFICATIONS são benigno, malicioso e/ou desconhecido, que devem ser separados por vírgula.

  1. Enviar indicadores para o Sentinel

O aplicativo de funções instalado na Etapa 6 consulta a API GreyNoise GNQL uma vez por dia e envia cada indicador encontrado no formato STIX 2.1 para a API Microsoft Upload Threat Intelligence Indicators. Cada indicador expira em aproximadamente 24 horas a partir da criação, a menos que seja encontrado na consulta do dia seguinte. Nesse caso o tempo Válido Até do Indicador TI é estendido por mais 24 horas, o que o mantém ativo no Microsoft Sentinel.

Para obter mais informações sobre a API GreyNoise e a GreyNoise Query Language (GNQL), clique aqui.

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.