ZeroFox CTI (使用 Azure Functions) 連接器進行Microsoft Sentinel
ZeroFox CTI 數據連接器提供將不同 ZeroFox 網路威脅情報警示內嵌至 Microsoft Sentinel 的功能。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 記錄分析資料表 | ZeroFox_CTI_advanced_dark_web_CL ZeroFox_CTI_botnet_CL ZeroFox_CTI_breaches_CL ZeroFox_CTI_C2_CL ZeroFox_CTI_compromised_credentials_CL ZeroFox_CTI_credit_cards_CL ZeroFox_CTI_dark_web_CL ZeroFox_CTI_discord_CL ZeroFox_CTI_disruption_CL ZeroFox_CTI_email_addresses_CL ZeroFox_CTI_exploits_CL ZeroFox_CTI_irc_CL ZeroFox_CTI_malware_CL ZeroFox_CTI_national_ids_CL ZeroFox_CTI_phishing_CL ZeroFox_CTI_phone_numbers_CL ZeroFox_CTI_ransomware_CL ZeroFox_CTI_telegram_CL ZeroFox_CTI_threat_actors_CL ZeroFox_CTI_vulnerabilities_CL |
| 資料收集規則支援 | 目前不支援 |
| 支援者: | ZeroFox |
查詢範例
ZeroFox CTI C2 網域記錄
ZeroFox_CTI_C2_CL
| sort by TimeGenerated desc
ZeroFox CTI 電子郵件地址記錄
ZeroFox_CTI_email_addresses_CL
| sort by TimeGenerated desc
ZeroFox CTI 惡意代碼記錄
ZeroFox_CTI_malware_CL
| sort by TimeGenerated desc
必要條件
若要與 ZeroFox CTI 整合(使用 Azure Functions),請確定您有:
- Microsoft.Web/網站權限:需要 Azure Functions 的讀寫權限才能建立 Function App。 請參閱文件以深入了解 Azure Functions。
- ZeroFox API 認證/許可權: ZeroFox 使用者名稱、 ZeroFox 個人存取令牌 是 ZeroFox CTI REST API 的必要專案。
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到 ZeroFox CTI REST API,將記錄提取至 sentinel Microsoft。 這可能會導致額外的資料擷取成本。 如需詳細資料,請參閱 Azure Functions 價格頁面。
(選擇性步驟) 將工作區和 API 授權金鑰或權杖安全地儲存在 Azure Key Vault 中。 Azure Key Vault 提供儲存和擷取金鑰值的安全機制。 遵循這些指示來搭配使用 Azure Key Vault 與 Azure Function App。
步驟 1 - 擷取 ZeroFox 認證:
請遵循這些指示來設定記錄並取得認證。
- 登入 ZeroFox 的網站。 使用您的使用者名稱和密碼 2 - 按兩下 [設定] 按鈕,然後移至 [資料連接器] 區段。 3 - 選取 [API 數據摘要] 索引標籤,然後前往頁面底部,選取 [API 資訊] 方塊中的 [重設 ],以取得要與用戶名稱一起使用的個人存取令牌。
**步驟 2 - 使用 Azure Resource Manager 範本部署 Azure Function 數據連接器: **
重要事項: 在部署 ZeroFox CTI 數據連接器之前,請具有工作區標識碼和工作區主鍵(可從下列內容複製),可供使用。
準備資源以進行部署。
按一下下方的 [部署至 Azure] 按鈕。
選取慣用 的訂用帳戶、 資源群組、Log Analytics 工作區和 位置。
輸入 工作區標識碼、 工作區密鑰、 ZeroFox 使用者名稱、 ZeroFox 個人存取令牌
按兩下 [ 檢閱 + 建立 ] 以部署。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。