Sdílet prostřednictvím


Konektor GreyNoise Threat Intelligence (pomocí Azure Functions) pro Microsoft Sentinel

Tento datový konektor nainstaluje aplikaci Funkcí Azure, která jednou denně stáhne indikátory GreyNoise a vloží je do tabulky ThreatIntelligenceIndicator v Microsoft Sentinelu.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

Atributy konektoru

Atribut konektoru Popis
Tabulky Log Analytics ThreatIntelligenceIndicator
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno GreyNoise

Ukázky dotazů

Všechny indikátory rozhraní API analýzy hrozeb

ThreatIntelligenceIndicator 
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc

Požadavky

Pokud chcete integrovat funkci GreyNoise Threat Intelligence (pomocí Azure Functions), ujistěte se, že máte:

Pokyny k instalaci dodavatele

GreyNoise Threat Intelligence můžete připojit ke službě Microsoft Sentinel pomocí následujících kroků:

Následující kroky vytvoří aplikaci Microsoft Entra ID, načte klíč rozhraní API GreyNoise a uloží hodnoty v konfiguraci aplikace funkcí Azure.

  1. Načtěte klíč rozhraní API z vizualizéru GreyNoise.

Generování klíče rozhraní API z vizualizéru GreyNoise https://docs.greynoise.io/docs/using-the-greynoise-api

  1. Ve svém tenantovi Microsoft Entra ID vytvořte aplikaci Microsoft Entra ID a získejte ID tenanta a ID klienta. Získejte také ID pracovního prostoru služby Log Analytics přidružené k vaší instanci Služby Microsoft Sentinel (mělo by se zobrazit níže).

Postupujte podle zde uvedených pokynů k vytvoření aplikace Microsoft Entra ID a uložení ID klienta a ID tenanta: /azure/sentinel/connect-threat-intelligence-upload-api#instructions: Počkejte na krok 5 a vygenerujte tajný klíč klienta.

  1. Přiřaďte aplikaci Microsoft Entra ID roli Přispěvatel Microsoft Sentinelu.

Podle zde uvedených pokynů přidejte roli Přispěvatel Microsoft Sentinelu: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application

  1. Zadejte oprávnění Microsoft Entra ID pro povolení přístupu rozhraní MS Graph API k rozhraní API pro nahrání indikátorů.

V této části přidejte oprávnění ThreatIndicators.ReadWrite.OwnedBy k aplikaci Microsoft Entra ID: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. Vraťte se do aplikace Microsoft Entra ID a ujistěte se, že udělíte souhlas správce s oprávněními, která jste právě přidali. Nakonec v části Tokeny a rozhraní API vygenerujte tajný klíč klienta a uložte ho. Budete ho potřebovat v kroku 6.

  1. Nasazení řešení Analýza hrozeb (Preview), které zahrnuje rozhraní API indikátorů analýzy hrozeb (Preview)

Podívejte se na centrum obsahu Microsoft Sentinelu pro toto řešení a nainstalujte ho v instanci Služby Microsoft Sentinel.

  1. Nasazení funkce Azure Functions

Klikněte na tlačítko Nasadit do Azure.

Nasadit do Azure

Vyplňte příslušné hodnoty pro každý parametr. Mějte na paměti , že jediné platné hodnoty parametru GREYNOISE_CLASSIFICATIONS jsou neškodné, škodlivé nebo neznámé, které musí být oddělené čárkami.

  1. Odesílání indikátorů do služby Sentinel

Aplikace funkcí nainstalovaná v kroku 6 se dotazuje rozhraní API GreyNoise GNQL jednou denně a odešle každý indikátor nalezený ve formátu STIX 2.1 do rozhraní API indikátorů analýzy hrozeb Od Microsoftu. Platnost každého indikátoru vyprší za přibližně 24 hodin od vytvoření, pokud se nenajde v dotazu následujícího dne. V tomto případě je indikátor TI platný do doby, než se doba prodlouží na dalších 24 hodin, což ji udržuje aktivní v Microsoft Sentinelu.

Další informace o rozhraní GreyNoise API a GNQL (GreyNoise Query Language) potřebujete kliknutím sem.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.