適用於 Microsoft Sentinel 的 GreyNoise 威脅情報 (使用 Azure Functions) 連接器
此數據 連線 or 會安裝 Azure 函式應用程式,每天下載一次 GreyNoise 指標,並將其插入 Microsoft Sentinel 中的 ThreatIntelligenceIndicator 資料表。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
| 連線 or 屬性 | 描述 |
|---|---|
| Log Analytics 數據表(s) | ThreatIntelligenceIndicator |
| 數據收集規則支援 | 目前不支援 |
| 支援者: | GreyNoise |
查詢範例
所有威脅情報 API 指標
ThreatIntelligenceIndicator
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc
必要條件
若要與 GreyNoise 威脅情報整合(使用 Azure Functions),請確定您有:
- Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions。
- GreyNoise API 金鑰:在這裡擷取您的 GreyNoise API 密鑰。
廠商安裝指示
您可以遵循下列步驟,將 GreyNoise Threat Intelligence 連線至 Microsoft Sentinel:
下列步驟會建立 Azure AAD 應用程式、擷取 GreyNoise API 金鑰,並將值儲存在 Azure 函式 應用程式組態 中。
- 從 GreyNoise 視覺化檢視擷取您的 API 金鑰。
從 GreyNoise 視覺化檢視產生 API 金鑰 https://docs.greynoise.io/docs/using-the-greynoise-api
- 在您的 Azure AD 租使用者中,建立 Azure Active Directory (AAD) 應用程式,並取得租使用者識別碼和用戶端標識碼。 此外,取得與您的 Microsoft Sentinel 實例相關聯的 Log Analytics 工作區標識符(應該如下所示)。
請遵循這裡的指示來建立您的 Azure AAD 應用程式,並儲存您的用戶端標識碼和租用戶標識碼:/azure/sentinel/connect-threat-intelligence-upload-api#instructions 附注:等到步驟 5 產生您的客戶端密碼。
- 指派 AAD 應用程式 Microsoft Sentinel 參與者角色。
請依照這裡的指示新增 Microsoft Sentinel 參與者角色:/azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application
- 指定 AAD 許可權,以啟用 MS Graph API 對上傳指標 API 的存取。
請遵循本節,將 'ThreatIndicators.ReadWrite.OwnedBy' 許可權新增至 AAD 應用程式:/azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application。 回到您的 AAD 應用程式,請確定您授與管理員同意剛才新增的許可權。 最後,在 [令牌和 API] 區段中,產生客戶端密碼並加以儲存。 在步驟 6 中,您將需要它。
- 部署威脅情報 (預覽) 解決方案,其中包含威脅情報上傳指標 API (預覽)
請參閱此解決方案的 Microsoft Sentinel 內容中樞,並將其安裝在 Microsoft Sentinel 實例中。
- 部署 Azure Function
按兩下 [部署至 Azure] 按鈕。
填入每個參數的適當值。 請注意,GREYNOISE_CLASSIFICATIONS參數的唯一有效值是良性、惡意和/或未知,必須以逗號分隔。
- 將指標傳送至 Sentinel
步驟 6 中安裝的函式應用程式會每天查詢一次 GreyNoise GNQL API,並將 STIX 2.1 格式中找到的每個指標提交至 Microsoft 上傳威脅情報指標 API。 除非在下一天的查詢中找到,否則每個指標都會在建立后 24 小時內到期。 在此情況下,TI 指標的有效 直到 時間再延長 24 小時,這會在 Microsoft Sentinel 中保持作用中。
如需 GreyNoise API 和 GreyNoise 查詢語言 (GNQL) 的詳細資訊, 請按兩下這裡。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。