Sdílet prostřednictvím

Konektor ZeroFox CTI (pomocí Azure Functions) pro Microsoft Sentinel

  • Článek

Datové konektory ZeroFox CTI poskytují možnost ingestovat různé výstrahy analýzy kybernetických hrozeb ZeroFox do Služby Microsoft Sentinel.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

Atributy konektoru

Atribut konektoru Popis
Tabulky Log Analytics ZeroFox_CTI_advanced_dark_web_CL
ZeroFox_CTI_botnet_CL
ZeroFox_CTI_breaches_CL
ZeroFox_CTI_C2_CL
ZeroFox_CTI_compromised_credentials_CL
ZeroFox_CTI_credit_cards_CL
ZeroFox_CTI_dark_web_CL
ZeroFox_CTI_discord_CL
ZeroFox_CTI_disruption_CL
ZeroFox_CTI_email_addresses_CL
ZeroFox_CTI_exploits_CL
ZeroFox_CTI_irc_CL
ZeroFox_CTI_malware_CL
ZeroFox_CTI_national_ids_CL
ZeroFox_CTI_phishing_CL
ZeroFox_CTI_phone_numbers_CL
ZeroFox_CTI_ransomware_CL
ZeroFox_CTI_telegram_CL
ZeroFox_CTI_threat_actors_CL
ZeroFox_CTI_vulnerabilities_CL
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno ZeroFox

Ukázky dotazů

Protokoly C2-domén ZeroFox CTI

ZeroFox_CTI_C2_CL

| sort by TimeGenerated desc

Protokoly e-mailových adres ZEROFox CTI

ZeroFox_CTI_email_addresses_CL

| sort by TimeGenerated desc

Protokoly malwaru ZeroFox CTI

ZeroFox_CTI_malware_CL

| sort by TimeGenerated desc

Požadavky

Pokud chcete provést integraci s nulaFox CTI (pomocí Azure Functions), ujistěte se, že máte:

  • Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
  • Přihlašovací údaje a oprávnění rozhraní API ZeroFox: Uživatelské jméno ZeroFox, osobní přístupový token ZeroFox se vyžaduje pro rozhraní REST API ZeroFox CTI.

Pokyny k instalaci dodavatele

Poznámka:

Tento konektor používá Azure Functions k připojení k rozhraní REST API ZeroFox CTI k načtení protokolů do Služby Microsoft Sentinel. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.

(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.

KROK 1 : Načtení přihlašovacích údajů ZeroFox:

Podle těchto pokynů nastavte protokolování a získejte přihlašovací údaje.

  1. Přihlaste se na web ZeroFoxu. pomocí uživatelského jména a hesla 2 – klikněte na tlačítko Nastavení a přejděte do části Datové konektory. 3 – Vyberte kartu DATOVÉ KANÁLY ROZHRANÍ API a přejděte do dolní části stránky, v poli Informace o rozhraní API vyberte Obnovit , abyste získali osobní přístupový token, který se má použít spolu s vaším uživatelským jménem.

**KROK 2: Nasazení datových konektorů funkce Azure Functions pomocí šablony Azure Resource Manageru: **

DŮLEŽITÉ: Před nasazením datového konektoru ZeroFox CTI je k dispozici ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího kódu).

Příprava prostředků pro nasazení

  1. Klikněte níže na tlačítko Nasadit do Azure .

    Nasadit do Azure

  2. Vyberte upřednostňované předplatné, skupinu prostředků, pracovní prostor služby Log Analytics a umístění.

  3. Zadejte ID pracovního prostoru, klíč pracovního prostoru, uživatelské jméno ZeroFox, osobní přístupový token ZeroFox.

  5. Nasazení provedete kliknutím na Zkontrolovat a vytvořit .

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.