Freigeben über

ZeroFox CTI-Connector (mithilfe von Azure Functions) für Microsoft Sentinel

  • Artikel

Die ZeroFox CTI-Datenconnectors bieten die Möglichkeit, die verschiedenen Cyber Threat Intelligence-Warnungen von ZeroFox in Microsoft Sentinel zu erfassen.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen ZeroFox_CTI_advanced_dark_web_CL
ZeroFox_CTI_botnet_CL
ZeroFox_CTI_breaches_CL
ZeroFox_CTI_C2_CL
ZeroFox_CTI_compromised_credentials_CL
ZeroFox_CTI_credit_cards_CL
ZeroFox_CTI_dark_web_CL
ZeroFox_CTI_discord_CL
ZeroFox_CTI_disruption_CL
ZeroFox_CTI_email_addresses_CL
ZeroFox_CTI_exploits_CL
ZeroFox_CTI_irc_CL
ZeroFox_CTI_malware_CL
ZeroFox_CTI_national_ids_CL
ZeroFox_CTI_phishing_CL
ZeroFox_CTI_phone_numbers_CL
ZeroFox_CTI_ransomware_CL
ZeroFox_CTI_telegram_CL
ZeroFox_CTI_threat_actors_CL
ZeroFox_CTI_vulnerabilities_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von ZeroFox

Abfragebeispiele

Protokolle zu ZeroFox CTI C2-Domänen

ZeroFox_CTI_C2_CL

| sort by TimeGenerated desc

Protokolle zu ZeroFox CTI-E-Mail-Adressen

ZeroFox_CTI_email_addresses_CL

| sort by TimeGenerated desc

Malwareprotokolle für ZeroFox CTI

ZeroFox_CTI_malware_CL

| sort by TimeGenerated desc

Voraussetzungen

Stellen Sie für die Integration in ZeroFox CTI (mithilfe von Azure Functions) sicher, dass Sie Folgendes haben:

  • Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
  • ZeroFox API-Anmeldeinformationen/-Berechtigungen: Für die ZeroFox CTI-REST-API sind ein Benutzername für ZeroFox und ein persönliches Zugriffstoken für ZeroFox erforderlich.

Installationsanweisungen des Anbieters

Hinweis

Dieser Connector stellt über Azure Functions eine Verbindung mit der ZeroFox CTI-REST-API her, um Protokolle in Microsoft Sentinel zu pullen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.

Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.

SCHRITT 1: Abrufen von ZeroFox-Anmeldeinformationen:

Befolgen Sie diese Anweisungen zum Einrichten der Protokollierung und zum Abrufen der Anmeldeinformationen.

  1. Melden Sie sich auf der Website von ZeroFox an. Verwenden Sie dazu den Benutzernamen und das Kennwort. 2 – Klicken Sie auf die Schaltfläche „Settings“, und wechseln Sie zum Abschnitt „Data Connectors“. 3 – Wählen Sie die Registerkarte „API DATA FEEDS“ aus, und wechseln Sie zum unteren Abschnitt der Seite. Wählen Sie Reset im Feld „API Information“ aus, um ein persönliches Zugriffstoken abzurufen, das zusammen mit Ihrem Benutzernamen verwendet werden soll.

**SCHRITT 2: Bereitstellen der Azure Functions-Datenconnectors mithilfe der Azure Resource Manager-Vorlage: **

WICHTIG: Halten Sie für die Bereitstellung des ZeroFox CTI-Datenconnectors die Arbeitsbereichs-ID und den Primärschlüssel für den Arbeitsbereich bereit (können im Anschluss kopiert werden).

Vorbereiten von Ressourcen für die Bereitstellung:

  1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

    In Azure bereitstellen

  2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe, den Log Analytics-Arbeitsbereich und den Speicherort aus.

  3. Geben Sie die Arbeitsbereichs-ID, den Arbeitsbereichsschlüssel, den ZeroFox-Benutzernamen, und das persönliche ZeroFox-Zugriffstoken ein.

  5. Klicken Sie zum Bereitstellen auf Überprüfen und erstellen.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.