次の方法で共有


Microsoft Sentinel 用 ZeroFox CTI (Azure Functions を使用) コネクタ

ZeroFox CTI データ コネクタは、ZeroFox のさまざまなサイバー脅威インテリジェンス アラートを Microsoft Sentinel に取り込む機能を提供します。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル ZeroFox_CTI_advanced_dark_web_CL
ZeroFox_CTI_botnet_CL
ZeroFox_CTI_breaches_CL
ZeroFox_CTI_C2_CL
ZeroFox_CTI_compromised_credentials_CL
ZeroFox_CTI_credit_cards_CL
ZeroFox_CTI_dark_web_CL
ZeroFox_CTI_discord_CL
ZeroFox_CTI_disruption_CL
ZeroFox_CTI_email_addresses_CL
ZeroFox_CTI_exploits_CL
ZeroFox_CTI_irc_CL
ZeroFox_CTI_malware_CL
ZeroFox_CTI_national_ids_CL
ZeroFox_CTI_phishing_CL
ZeroFox_CTI_phone_numbers_CL
ZeroFox_CTI_ransomware_CL
ZeroFox_CTI_telegram_CL
ZeroFox_CTI_threat_actors_CL
ZeroFox_CTI_vulnerabilities_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの ZeroFox

クエリのサンプル

ZeroFox CTI の C2 ドメイン ログ

ZeroFox_CTI_C2_CL

| sort by TimeGenerated desc

ZeroFox CTI のメール アドレス ログ

ZeroFox_CTI_email_addresses_CL

| sort by TimeGenerated desc

ZeroFox CTI のマルウェア ログ

ZeroFox_CTI_malware_CL

| sort by TimeGenerated desc

前提条件

ZeroFox CTI (Azure Functions を使用) と統合するには、次のものがあることを確認します。

ベンダーのインストール手順

Note

このコネクタは、Azure Functions を使って ZeroFox CTI REST API に接続し、ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。

(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います

ステップ 1 - ZeroFox の資格情報の取得:

ログの設定に関するこちらの手順に従って、資格情報を取得します。

  1. ZeroFox の Web サイトにログインします。 ユーザー名とパスワードを使います 2 - [Settings] ボタンをクリックして、[Data Connectors] セクションに移動します。 3 - [API DATA FEEDS] タブを選び、ページの下部に移動し、[API Information] ボックスで [Reset] を選んで、ユーザー名と共に使う個人用アクセス トークンを取得します。

**ステップ 2 - Azure Resource Manager テンプレートを使用して Azure 関数データ コネクタをデプロイする: **

重要: ZeroFox CTI データ コネクタをデプロイする前に、ワークスペース ID とワークスペースのプライマリ キーをすぐに使用できるように用意してください (次からコピーできます)。

デプロイのためのリソースの準備。

  1. 下の [Azure へのデプロイ] ボタンをクリックします。

    Azure にデプロイする

  2. 使用するサブスクリプションリソース グループ、Log Analytics ワークスペース、場所を選びます。

  3. ワークスペース IDワークスペース キーZeroFox のユーザー名ZeroFox の個人用アクセス トークンを入力します

  4. [確認と作成] をクリックしてデプロイします。

次のステップ

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。