Compartir vía


GreyNoise Threat Intelligence (uso de Azure Functions) conector para Microsoft Sentinel

Este conector de datos instala una aplicación de funciones de Azure para descargar indicadores GreyNoise una vez al día e insertarlos en la tabla ThreatIntelligenceIndicator de Microsoft Sentinel.

Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector Descripción
Tabla de Log Analytics ThreatIntelligenceIndicator
Compatibilidad con reglas de recopilación de datos No se admite actualmente.
Compatible con GreyNoise

Ejemplos de consultas

Todos los indicadores de API de inteligencia sobre amenazas

ThreatIntelligenceIndicator 
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc

Requisitos previos

Para realizar la integración con GreyNoise Threat Intelligence (mediante Azure Functions), asegúrese de que tiene:

Instrucciones de instalación del proveedor

Puede conectar GreyNoise Threat Intelligence a Microsoft Sentinel siguiendo estos pasos:

En los pasos siguientes se crea una aplicación de Microsoft Entra ID, se recupera una clave de API GreyNoise y se guardan los valores en una instancia de Azure Function App Configuration.

  1. Recupere la clave de API del visualizador GreyNoise.

Generación de una clave de API a partir del visualizador GreyNoise https://docs.greynoise.io/docs/using-the-greynoise-api

  1. En el inquilino de Microsoft Entra ID, cree una aplicación de Microsoft Entra ID y adquiera el identificador de inquilino y el identificador de cliente. Además, obtenga el Identificador del área de trabajo de Log Analytics asociado a la instancia de Microsoft Sentinel (debería mostrarse a continuación).

Siga las instrucciones que se indican aquí para crear la aplicación de Microsoft Entra ID y guardar el identificador de inquilino y el identificador de cliente: /azure/sentinel/connect-threat-intelligence-upload-api#instructions NOTA: Espere hasta el paso 5 para generar el secreto de cliente.

  1. Asigne a la aplicación Microsoft Entra ID el rol de colaborador de Microsoft Sentinel.

Siga las instrucciones que se indican aquí para agregar el rol de colaborador de Microsoft Sentinel: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application

  1. Especifique los permisos de Microsoft Entra ID para habilitar el acceso de MS Graph API a la API de indicadores de carga.

Siga esta sección para agregar el permiso "ThreatIndicators.ReadWrite.OwnedBy" a la aplicación de Microsoft Entra ID: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. De nuevo en la aplicación de Microsoft Entra ID, asegúrese de conceder el consentimiento del administrador para los permisos que acaba de agregar. Por último, en la sección "Tokens y API", genere un secreto de cliente y guárdelo. Lo necesitará en el paso 6.

  1. Implemente la solución Inteligencia sobre amenazas (versión preliminar), que incluye la API de indicadores de carga de inteligencia sobre amenazas (versión preliminar)

Consulte Centro de contenido de Microsoft Sentinel para esta solución e instálelo en la instancia de Microsoft Sentinel.

  1. Implementación de la función de Azure

Haga clic en botón Deploy to Azure (Implementar en Azure).

Implementación en Azure

Rellene los valores adecuados para cada parámetro. Tenga en cuenta que los únicos valores válidos para el parámetro GREYNOISE_CLASSIFICATIONS son benignos, malintencionado o desconocido, que deben estar separados por comas.

  1. Envíe indicadores a Sentinel

La aplicación de funciones instalada en el paso 6 consulta la API de GNQL GreyNoise una vez al día y envía cada indicador que se encuentra en formato STIX 2.1 a Indicadores de Inteligencia de Amenazas de Microsoft. Cada indicador expira en aproximadamente 24 horas desde la creación, a menos que se encuentre en la consulta del día siguiente. En este caso, el indicador de TI Válido hasta tiempo se extiende durante otras 24 horas, lo que lo mantiene activo en Microsoft Sentinel.

Para obtener más información sobre GreyNoise API y el Lenguaje de consulta GreyNoise (GNQL), haga clic aquí.

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.