Поделиться через

Соединитель GreyNoise Threat Intelligence (с помощью Функции Azure) для Microsoft Sentinel

  • Статья

Этот соединитель данных устанавливает приложение-функцию Azure для скачивания индикаторов GreyNoise один раз в день и вставляет их в таблицу ThreatIntelligenceIndicator в Microsoft Sentinel.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Таблицы Log Analytics ThreatIntelligenceIndicator
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается GreyNoise

Примеры запросов

Все индикаторы API аналитики угроз

ThreatIntelligenceIndicator 
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc

Необходимые компоненты

Чтобы интегрироваться с GreyNoise Threat Intelligence (с помощью Функции Azure), убедитесь, что у вас есть:

Инструкции по установке поставщика

Вы можете подключить GreyNoise Threat Intelligence к Microsoft Sentinel, выполнив следующие действия.

В следующих шагах создается приложение Идентификатора Microsoft Entra, извлекается ключ API GreyNoise и сохраняются значения в Конфигурация приложений функции Azure.

  1. Получите ключ API из визуализатора GreyNoise.

Создание ключа API из визуализатора GreyNoise https://docs.greynoise.io/docs/using-the-greynoise-api

  1. В клиенте Идентификатора Microsoft Entra создайте приложение идентификатора Microsoft Entra и получите идентификатор клиента и идентификатор клиента. Кроме того, получите идентификатор рабочей области Log Analytics, связанный с экземпляром Microsoft Sentinel (он должен отображаться ниже).

Следуйте инструкциям, чтобы создать приложение Идентификатора Microsoft Entra и сохранить идентификатор клиента и идентификатор клиента: /azure/sentinel/connect-threat-intelligence-upload-api#instructions NOTE: подождите до шага 5, чтобы создать секрет клиента.

  1. Назначьте приложению идентификатора Microsoft Entra роль участника Microsoft Sentinel.

Следуйте инструкциям, чтобы добавить роль участника Microsoft Sentinel: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-application

  1. Укажите разрешения идентификатора Microsoft Entra, чтобы включить доступ API MS Graph к API индикаторов отправки.

Следуйте этому разделу, чтобы добавить разрешение ThreatIndicators.ReadWrite.OwnedBy в приложение идентификатора Microsoft Entra ID: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-application. Вернитесь в приложение идентификатора Microsoft Entra ID, убедитесь, что вы предоставляете согласие администратора для только что добавленных разрешений. Наконец, в разделе "Токены и API" создайте секрет клиента и сохраните его. Он понадобится на шаге 6.

  1. Развертывание решения аналитики угроз (предварительная версия), включающее API индикаторов отправки аналитики угроз (предварительная версия)

См. Центр содержимого Microsoft Sentinel для этого решения и его установку в экземпляре Microsoft Sentinel.

  1. Развертывание экземпляра Функции Azure

Нажмите кнопку Deploy to Azure (Развернуть в Azure).

Развертывание в Azure

Введите соответствующие значения для каждого параметра. Помните, что только допустимые значения для параметра GREYNOISE_CLASSIFICATIONS являются доброкачественными, вредоносными и /или неизвестными, которые должны быть разделены запятыми.

  1. Отправка индикаторов в Sentinel

Приложение-функция, установленное на шаге 6, запрашивает API GreyNoise GNQL один раз в день и отправляет каждый индикатор, найденный в формате STIX 2.1, в API индикаторов аналитики угроз Майкрософт. Каждый индикатор истекает в течение 24 часов после создания, если не найден на следующий день запроса. В этом случае допустимое время индикатора TI будет продлено еще на 24 часа, которое сохраняет его активным в Microsoft Sentinel.

Дополнительные сведения об API GreyNoise и языке запросов GreyNoise (GNQL) см. здесь.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.