Delen via

GreyNoise Threat Intelligence -connector (met behulp van Azure Functions) voor Microsoft Sentinel

  • Artikel

Met deze gegevensconnector wordt een Azure Function-app geïnstalleerd om GreyNoise-indicatoren eenmaal per dag te downloaden en deze in te voegen in de tabel ThreatIntelligenceIndicator in Microsoft Sentinel.

Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.

Connectorkenmerken

Kenmerk connector Beschrijving
Log Analytics-tabellen ThreatIntelligenceIndicator
Ondersteuning voor regels voor gegevensverzameling Wordt momenteel niet ondersteund
Ondersteund door GreyNoise

Voorbeelden van query's

Alle Bedreigingsinformatie-API-indicatoren

ThreatIntelligenceIndicator 
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc

Vereisten

Als u wilt integreren met GreyNoise Threat Intelligence (met behulp van Azure Functions), moet u het volgende hebben:

Installatie-instructies van leverancier

U kunt GreyNoise Threat Intelligence verbinden met Microsoft Sentinel door de onderstaande stappen te volgen:

Met de volgende stappen maakt u een Microsoft Entra ID-toepassing, haalt u een GreyNoise-API-sleutel op en slaat u de waarden op in een Azure Function App Configuration.

  1. Haal uw API-sleutel op uit GreyNoise Visualizer.

Een API-sleutel genereren vanuit GreyNoise Visualizer https://docs.greynoise.io/docs/using-the-greynoise-api

  1. Maak in uw Microsoft Entra ID-tenant een Microsoft Entra ID-toepassing en haal tenant-id en client-id op. Haal ook de Log Analytics-werkruimte-id op die is gekoppeld aan uw Microsoft Sentinel-exemplaar (deze moet hieronder worden weergegeven).

Volg de instructies hier om uw Microsoft Entra ID-app te maken en uw client-id en tenant-id op te slaan: /azure/sentinel/connect-threat-intelligence-upload-api#instructions OPMERKING: Wacht tot stap 5 uw clientgeheim genereert.

  1. Wijs de Microsoft Entra ID-toepassing de rol Microsoft Sentinel-inzender toe.

Volg de instructies hier om de rol Microsoft Sentinel-inzender toe te voegen: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application

  1. Geef de Microsoft Entra ID-machtigingen op om MS Graph API-toegang tot de UPLOAD-indicators-API in te schakelen.

Volg deze sectie hier om de machtiging ThreatIndicators.ReadWrite.OwnedBy toe te voegen aan de Microsoft Entra ID-app: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. Ga terug naar uw Microsoft Entra ID-app en zorg ervoor dat u beheerderstoestemming verleent voor de machtigingen die u zojuist hebt toegevoegd. Ten slotte genereert u in de sectie Tokens en API's een clientgeheim en slaat u het op. U hebt deze nodig in stap 6.

  1. Implementeer de oplossing bedreigingsinformatie (preview) met de API voor uploadindicatoren voor bedreigingsinformatie (preview)

Zie Microsoft Sentinel Content Hub voor deze oplossing en installeer deze in het Microsoft Sentinel-exemplaar.

  1. De Azure-functie implementeren

Klik op de knop Implementeren in Azure.

Implementeren in Azure

Vul de juiste waarden in voor elke parameter. Houd er rekening mee dat de enige geldige waarden voor de parameter GREYNOISE_CLASSIFICATIONS goedaardig, schadelijk en/of onbekend zijn, die door komma's moeten worden gescheiden.

  1. Indicatoren verzenden naar Sentinel

De functie-app die in stap 6 is geïnstalleerd, voert één keer per dag een query uit op de GreyNoise GNQL-API en verzendt elke indicator die in STIX 2.1-indeling is gevonden, naar de API voor Bedreigingsinformatie-indicatoren van Microsoft Upload. Elke indicator verloopt binnen ongeveer 24 uur na het maken, tenzij deze is gevonden op de query van de volgende dag. In dit geval wordt de geldige tijd van de TI-indicator verlengd voor nog eens 24 uur, waardoor deze actief blijft in Microsoft Sentinel.

Klik hier voor meer informatie over de GreyNoise-API en de GreyNoise Query Language (GNQL).

Volgende stappen

Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.