Microsoft Sentinel için GreyNoise Threat Intelligence (Azure İşlevleri kullanarak) bağlayıcısı
Bu Data Bağlan or günde bir kez GreyNoise göstergelerini indirmek için bir Azure İşlevi uygulaması yükler ve bunları Microsoft Sentinel'deki ThreatIntelligenceIndicator tablosuna ekler.
Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.
Bağlan or öznitelikleri
| Bağlan or özniteliği | Açıklama |
|---|---|
| Log Analytics tabloları | ThreatIntelligenceIndicator |
| Veri toplama kuralları desteği | Şu anda desteklenmiyor |
| Destekleyen: | GreyNoise |
Sorgu örnekleri
Tüm Tehdit Bilgileri API'leri Göstergeleri
ThreatIntelligenceIndicator
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc
Önkoşullar
GreyNoise Threat Intelligence ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:
- Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
- GreyNoise API Anahtarı: GreyNoise API Anahtarınızı buradan alın.
Satıcı yükleme yönergeleri
Aşağıdaki adımları izleyerek GreyNoise Threat Intelligence'ı Microsoft Sentinel'e bağlayabilirsiniz:
Aşağıdaki adımlar bir Azure AAD uygulaması oluşturur, GreyNoise API anahtarını alır ve değerleri bir Azure İşlevi Uygulama Yapılandırması kaydeder.
- GreyNoise Görselleştiricisi'nden API Anahtarınızı alın.
GreyNoise Görselleştiricisi'nden API anahtarı oluşturma https://docs.greynoise.io/docs/using-the-greynoise-api
- Azure AD kiracınızda bir Azure Active Directory (AAD) uygulaması oluşturun ve Kiracı Kimliği ile İstemci Kimliği'ne sahip olun. Ayrıca, Microsoft Sentinel örneğinle ilişkilendirilmiş Log Analytics Çalışma Alanı Kimliğini de alın (aşağıda görüntülenmelidir).
Azure AAD uygulamanızı oluşturmak ve İstemci Kimliği ile Kiracı Kimliğinizi kaydetmek için buradaki yönergeleri izleyin: /azure/sentinel/connect-threat-intelligence-upload-api#instructions NOT: İstemci gizli dizinizi oluşturmak için 5. adıma kadar bekleyin.
- AAD uygulamasına Microsoft Sentinel Katkıda Bulunan Rolü atayın.
Microsoft Sentinel Katkıda Bulunanı Rolünü eklemek için buradaki yönergeleri izleyin: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application
- MS Graph API'sinin karşıya yükleme göstergeleri API'sine erişimini etkinleştirmek için AAD izinlerini belirtin.
AAD Uygulamasına 'ThreatIndicators.ReadWrite.OwnedBy' izni eklemek için buradaki bölümü izleyin: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. AAD Uygulamanıza döndüğünüzde, yeni eklediğiniz izinler için yönetici onayı verdiğinizden emin olun. Son olarak, 'Belirteçler ve API'ler' bölümünde bir istemci gizli dizisi oluşturun ve kaydedin. 6. Adımda buna ihtiyacınız olacaktır.
- Tehdit Bilgileri Karşıya Yükleme Göstergeleri API'sini (Önizleme) içeren Tehdit Bilgileri (Önizleme) Çözümünü dağıtma
Bu Çözüm için Microsoft Sentinel İçerik Merkezi'ne bakın ve Microsoft Sentinel örneğine yükleyin.
- Azure İşlevini dağıtma
Azure'a Dağıt düğmesine tıklayın.
Her parametre için uygun değerleri doldurun. GREYNOISE_CLASSIFICATIONS parametresi için yalnızca geçerli değerlerin zararsız, kötü amaçlı ve/veya bilinmeyen olduğunu ve virgülle ayrılmış olması gerektiğini unutmayın.
- Sentinel'e gösterge gönderme
6. Adımda yüklenen işlev uygulaması, GreyNoise GNQL API'sini günde bir kez sorgular ve STIX 2.1 biçiminde bulunan her göstergeyi Microsoft Upload Threat Intelligence Göstergeleri API'sine gönderir. Sonraki günün sorgusunda bulunamadığı sürece her göstergenin süresi oluşturma işleminden itibaren yaklaşık 24 saat içinde dolar. Bu durumda TI Göstergesinin Geçerlilik Süresi, Microsoft Sentinel'de etkin kalmasını sağlayan 24 saat daha uzatılır.
GreyNoise API'si ve GreyNoise Sorgu Dili (GNQL) hakkında daha fazla bilgi için buraya tıklayın.
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.