Partilhar via

Conector GreyNoise Threat Intelligence (usando o Azure Functions) para o Microsoft Sentinel

  • Artigo

Este Conector de Dados instala uma aplicação Azure Function para transferir indicadores GreyNoise uma vez por dia e insere-os na tabela ThreatIntelligenceIndicator no Microsoft Sentinel.

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics ThreatIntelligenceIndicator
Suporte a regras de coleta de dados Não é suportado atualmente
Apoiado por Ruído cinzento

Exemplos de consulta

Todos os indicadores de APIs de inteligência de ameaças

ThreatIntelligenceIndicator 
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc

Pré-requisitos

Para integrar com o GreyNoise Threat Intelligence (usando o Azure Functions), certifique-se de ter:

Instruções de instalação do fornecedor

Você pode conectar o GreyNoise Threat Intelligence ao Microsoft Sentinel seguindo as etapas abaixo:

As etapas a seguir criam um aplicativo Microsoft Entra ID, recuperam uma chave de API GreyNoise e salvam os valores em uma Configuração do Aplicativo de Função do Azure.

  1. Recupere sua chave de API do GreyNoise Visualizer.

Gerar uma chave de API a partir do GreyNoise Visualizer https://docs.greynoise.io/docs/using-the-greynoise-api

  1. No locatário do Microsoft Entra ID, crie um aplicativo Microsoft Entra ID e adquira a ID do Locatário e a ID do Cliente. Além disso, obtenha o ID do espaço de trabalho do Log Analytics associado à sua instância do Microsoft Sentinel (ele deve ser exibido abaixo).

Siga as instruções aqui para criar seu aplicativo Microsoft Entra ID e salvar sua ID do Cliente e ID do Locatário: /azure/sentinel/connect-threat-intelligence-upload-api#instructions NOTA: Aguarde até a etapa 5 para gerar o segredo do cliente.

  1. Atribua ao aplicativo Microsoft Entra ID a Função de Colaborador do Microsoft Sentinel.

Siga as instruções aqui para adicionar a Função de Colaborador do Microsoft Sentinel: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application

  1. Especifique as permissões do Microsoft Entra ID para habilitar o acesso da API do MS Graph à API de indicadores de upload.

Siga esta seção aqui para adicionar a permissão 'ThreatIndicators.ReadWrite.OwnedBy' ao aplicativo Microsoft Entra ID: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. De volta ao seu aplicativo Microsoft Entra ID, certifique-se de conceder consentimento de administrador para as permissões que você acabou de adicionar. Finalmente, na seção 'Tokens e APIs', gere um segredo do cliente e salve-o. Você vai precisar dele no Passo 6.

  1. Implante a solução de inteligência de ameaças (visualização), que inclui a API de indicadores de carregamento de inteligência de ameaças (visualização)

Consulte Microsoft Sentinel Content Hub para esta solução e instale-o na instância do Microsoft Sentinel.

  1. Implantar a função do Azure

Clique no botão Implantar no Azure.

Implementar no Azure

Preencha os valores apropriados para cada parâmetro. Esteja ciente de que os únicos valores válidos para o parâmetro GREYNOISE_CLASSIFICATIONS são benignos, maliciosos e/ou desconhecidos, que devem ser separados por vírgula.

  1. Enviar indicadores para o Sentinel

O aplicativo de função instalado na Etapa 6 consulta a API GNQL GreyNoise uma vez por dia e envia cada indicador encontrado no formato STIX 2.1 para a API Microsoft Upload Threat Intelligence Indicators. Cada indicador expira em ~24 horas a partir da criação, a menos que seja encontrado na consulta do dia seguinte. Neste caso, o tempo Válido Até do Indicador TI é estendido por mais 24 horas, o que o mantém ativo no Microsoft Sentinel.

Para obter mais informações sobre a API GreyNoise e a GreyNoise Query Language (GNQL), clique aqui.

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.