Microsoft Sentinel 用 ZeroFox CTI (Azure Functions を使用) コネクタ
ZeroFox CTI データ コネクタは、ZeroFox のさまざまなサイバー脅威インテリジェンス アラートを Microsoft Sentinel に取り込む機能を提供します。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
コネクタ属性 | 説明 |
---|---|
Log Analytics テーブル | ZeroFox_CTI_advanced_dark_web_CL ZeroFox_CTI_botnet_CL ZeroFox_CTI_breaches_CL ZeroFox_CTI_C2_CL ZeroFox_CTI_compromised_credentials_CL ZeroFox_CTI_credit_cards_CL ZeroFox_CTI_dark_web_CL ZeroFox_CTI_discord_CL ZeroFox_CTI_disruption_CL ZeroFox_CTI_email_addresses_CL ZeroFox_CTI_exploits_CL ZeroFox_CTI_irc_CL ZeroFox_CTI_malware_CL ZeroFox_CTI_national_ids_CL ZeroFox_CTI_phishing_CL ZeroFox_CTI_phone_numbers_CL ZeroFox_CTI_ransomware_CL ZeroFox_CTI_telegram_CL ZeroFox_CTI_threat_actors_CL ZeroFox_CTI_vulnerabilities_CL |
データ収集ルールのサポート | 現在、サポートされていません |
サポートしているもの | ZeroFox |
クエリのサンプル
ZeroFox CTI の C2 ドメイン ログ
ZeroFox_CTI_C2_CL
| sort by TimeGenerated desc
ZeroFox CTI のメール アドレス ログ
ZeroFox_CTI_email_addresses_CL
| sort by TimeGenerated desc
ZeroFox CTI のマルウェア ログ
ZeroFox_CTI_malware_CL
| sort by TimeGenerated desc
前提条件
ZeroFox CTI (Azure Functions を使用) と統合するには、次のものがあることを確認します。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
- ZeroFox API の資格情報とアクセス許可: ZeroFox CTI REST API には、ZeroFox のユーザー名と ZeroFox の個人用アクセス トークンが必要です。
ベンダーのインストール手順
Note
このコネクタは、Azure Functions を使って ZeroFox CTI REST API に接続し、ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。
(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います。
ステップ 1 - ZeroFox の資格情報の取得:
ログの設定に関するこちらの手順に従って、資格情報を取得します。
- ZeroFox の Web サイトにログインします。 ユーザー名とパスワードを使います 2 - [Settings] ボタンをクリックして、[Data Connectors] セクションに移動します。 3 - [API DATA FEEDS] タブを選び、ページの下部に移動し、[API Information] ボックスで [Reset] を選んで、ユーザー名と共に使う個人用アクセス トークンを取得します。
**ステップ 2 - Azure Resource Manager テンプレートを使用して Azure 関数データ コネクタをデプロイする: **
重要: ZeroFox CTI データ コネクタをデプロイする前に、ワークスペース ID とワークスペースのプライマリ キーをすぐに使用できるように用意してください (次からコピーできます)。
デプロイのためのリソースの準備。
下の [Azure へのデプロイ] ボタンをクリックします。
使用するサブスクリプション、リソース グループ、Log Analytics ワークスペース、場所を選びます。
ワークスペース ID、ワークスペース キー、ZeroFox のユーザー名、ZeroFox の個人用アクセス トークンを入力します
[確認と作成] をクリックしてデプロイします。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。