Microsoft Sentinel 用 Feedly コネクタ
このコネクタを使用すると、Feedly から IoC を取り込めます。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | feedly_indicators_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | Feedly Inc |
クエリのサンプル
収集されたすべての IoC
feedly_indicators_CL
| sort by TimeGenerated desc
IP アドレス
feedly_indicators_CL
| where type_s == "ip"
| sort by TimeGenerated desc
前提条件
Feedly と統合するには、次のものがあることを確認します。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
- 必要な場合のカスタム前提条件であり、それ以外の場合はこのカスタム タグを削除する: カスタム前提条件の説明
ベンダーのインストール手順
Note
このコネクタは Azure Functions を使って Feedly に接続し、IoC を Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。
(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。
Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います。
手順 1 - Feedly API トークンを取得する
https://feedly.com/i/team/api に移動し、コネクタの新しい API トークンを生成します。
手順 2 - コネクタをデプロイする
次の 2 つのデプロイ オプションから 1 つを選び、コネクタと関連付けられている Azure 関数をデプロイする**
重要: Feedly コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (以下からコピー可)、および Feedly API トークンをすぐに使用できるようにしておいてください。
オプション 1 - Azure Resource Manager (ARM) テンプレート
Feedly コネクタの自動デプロイには、この方法を使用します。
下の [Azure へのデプロイ] ボタンをクリックします。
お使いの [サブスクリプション]、[リソース グループ]、[場所] を選択します。
SentinelWorkspaceId、SentinelWorkspaceKey、FeedlyApiKey、FeedlyStreamIds、DaysToBackfill を入力します。
注: 上記のいずれかの値に対して Azure Key Vault シークレットを使用する場合は、文字列値の代わりに
@Microsoft.KeyVault(SecretUri={Security Identifier})スキーマを使用します。 詳細については、Key Vault のリファレンス ドキュメントを参照してください。 4. [上記のご契約条件に同意する] というラベルのチェックボックスをオンにします。 5. [購入] をクリックしてデプロイします。
オプション 2 - Azure Functions の手動デプロイ
Azure Functions を使用して Feedly コネクタを手動でデプロイするには、次の詳細な手順を使用します (Visual Studio Code によるデプロイ)。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。