ZeroFox CTI (uso del conector de Azure Functions) para Microsoft Sentinel
Los conectores de datos ZeroFox CTI proporcionan la capacidad de ingerir las diferentes alertas de inteligencia sobre amenazas cibernéticas de ZeroFox en Microsoft Sentinel.
Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| Tabla de Log Analytics | ZeroFox_CTI_advanced_dark_web_CL ZeroFox_CTI_botnet_CL ZeroFox_CTI_breaches_CL ZeroFox_CTI_C2_CL ZeroFox_CTI_compromised_credentials_CL ZeroFox_CTI_credit_cards_CL ZeroFox_CTI_dark_web_CL ZeroFox_CTI_discord_CL ZeroFox_CTI_disruption_CL ZeroFox_CTI_email_addresses_CL ZeroFox_CTI_exploits_CL ZeroFox_CTI_irc_CL ZeroFox_CTI_malware_CL ZeroFox_CTI_national_ids_CL ZeroFox_CTI_phishing_CL ZeroFox_CTI_phone_numbers_CL ZeroFox_CTI_ransomware_CL ZeroFox_CTI_telegram_CL ZeroFox_CTI_threat_actors_CL ZeroFox_CTI_vulnerabilities_CL |
| Compatibilidad con reglas de recopilación de datos | No se admite actualmente. |
| Compatible con | ZeroFox |
Ejemplos de consultas
Registros de dominios C2 de ZeroFox CTI
ZeroFox_CTI_C2_CL
| sort by TimeGenerated desc
Registros de direcciones de correo electrónico de ZeroFox CTI
ZeroFox_CTI_email_addresses_CL
| sort by TimeGenerated desc
Registros de malware de ZeroFox CTI
ZeroFox_CTI_malware_CL
| sort by TimeGenerated desc
Requisitos previos
Para integrar con ZeroFox CTI (mediante Azure Functions), asegúrese de que tiene:
- Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para más información sobre Azure Functions.
- Credenciales y permisos de la API de ZeroFox: nombre de usuario de ZeroFox, se requiere el token de acceso personal de ZeroFox para la API de REST de ZeroFox CTI.
Instrucciones de instalación del proveedor
Nota:
Este conector usa Azure Functions para conectarse a la API REST de ZeroFox CTI para extraer registros en Microsoft Sentinel. Esto podría generar costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.
(Paso opcional) Almacene de manera segura las claves o tokens de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.
PASO 1: Recuperación de credenciales de ZeroFox:
Siga estas instrucciones para configurar el registro y obtener credenciales.
- Inicie sesión en el sitio web de ZeroFox. con el nombre de usuario y la contraseña 2: haga clic en el botón Configuración y vaya a la sección Conectores de datos. 3 - Seleccione la pestaña FUENTES DE DISTRIBUCIÓN DE DATOS de API y vaya a la parte inferior de la página, seleccione Restablecer en el cuadro Información de API, para obtener un token de acceso personal que se usará junto con el nombre de usuario.
**PASO 2: Implementación de los conectores de datos de Azure Functions mediante la plantilla de Azure Resource Manager: **
IMPORTANTE: Antes de implementar el conector de datos ZeroFox CTI, tenga el id. de área de trabajo y la clave principal del área de trabajo (se puede copiar desde lo siguiente) fácilmente disponibles.
Preparar recursos para la implementación.
Haga clic en el botón Implementar en Azure que aparece a continuación.
Seleccione la Suscripción preferida, Grupo de recursos, área de trabajo de Log Analytics y Ubicación.
Escriba el identificador del área de trabajo, la clave del área de trabajo, el nombre de usuario de ZeroFox, el token de acceso personal de ZeroFox
Haga clic en Revisar y crear para implementar.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.