Compartir vía


ZeroFox CTI (uso del conector de Azure Functions) para Microsoft Sentinel

Los conectores de datos ZeroFox CTI proporcionan la capacidad de ingerir las diferentes alertas de inteligencia sobre amenazas cibernéticas de ZeroFox en Microsoft Sentinel.

Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector Descripción
Tabla de Log Analytics ZeroFox_CTI_advanced_dark_web_CL
ZeroFox_CTI_botnet_CL
ZeroFox_CTI_breaches_CL
ZeroFox_CTI_C2_CL
ZeroFox_CTI_compromised_credentials_CL
ZeroFox_CTI_credit_cards_CL
ZeroFox_CTI_dark_web_CL
ZeroFox_CTI_discord_CL
ZeroFox_CTI_disruption_CL
ZeroFox_CTI_email_addresses_CL
ZeroFox_CTI_exploits_CL
ZeroFox_CTI_irc_CL
ZeroFox_CTI_malware_CL
ZeroFox_CTI_national_ids_CL
ZeroFox_CTI_phishing_CL
ZeroFox_CTI_phone_numbers_CL
ZeroFox_CTI_ransomware_CL
ZeroFox_CTI_telegram_CL
ZeroFox_CTI_threat_actors_CL
ZeroFox_CTI_vulnerabilities_CL
Compatibilidad con reglas de recopilación de datos No se admite actualmente.
Compatible con ZeroFox

Ejemplos de consultas

Registros de dominios C2 de ZeroFox CTI

ZeroFox_CTI_C2_CL

| sort by TimeGenerated desc

Registros de direcciones de correo electrónico de ZeroFox CTI

ZeroFox_CTI_email_addresses_CL

| sort by TimeGenerated desc

Registros de malware de ZeroFox CTI

ZeroFox_CTI_malware_CL

| sort by TimeGenerated desc

Requisitos previos

Para integrar con ZeroFox CTI (mediante Azure Functions), asegúrese de que tiene:

  • Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para más información sobre Azure Functions.
  • Credenciales y permisos de la API de ZeroFox: nombre de usuario de ZeroFox, se requiere el token de acceso personal de ZeroFox para la API de REST de ZeroFox CTI.

Instrucciones de instalación del proveedor

Nota:

Este conector usa Azure Functions para conectarse a la API REST de ZeroFox CTI para extraer registros en Microsoft Sentinel. Esto podría generar costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de manera segura las claves o tokens de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.

PASO 1: Recuperación de credenciales de ZeroFox:

Siga estas instrucciones para configurar el registro y obtener credenciales.

  1. Inicie sesión en el sitio web de ZeroFox. con el nombre de usuario y la contraseña 2: haga clic en el botón Configuración y vaya a la sección Conectores de datos. 3 - Seleccione la pestaña FUENTES DE DISTRIBUCIÓN DE DATOS de API y vaya a la parte inferior de la página, seleccione Restablecer en el cuadro Información de API, para obtener un token de acceso personal que se usará junto con el nombre de usuario.

**PASO 2: Implementación de los conectores de datos de Azure Functions mediante la plantilla de Azure Resource Manager: **

IMPORTANTE: Antes de implementar el conector de datos ZeroFox CTI, tenga el id. de área de trabajo y la clave principal del área de trabajo (se puede copiar desde lo siguiente) fácilmente disponibles.

Preparar recursos para la implementación.

  1. Haga clic en el botón Implementar en Azure que aparece a continuación.

    Implementación en Azure

  2. Seleccione la Suscripción preferida, Grupo de recursos, área de trabajo de Log Analytics y Ubicación.

  3. Escriba el identificador del área de trabajo, la clave del área de trabajo, el nombre de usuario de ZeroFox, el token de acceso personal de ZeroFox

  4. Haga clic en Revisar y crear para implementar.

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.