ZeroFox CTI-connector (met behulp van Azure Functions) voor Microsoft Sentinel
De ZeroFox CTI-gegevensconnectors bieden de mogelijkheid om de verschillende ZeroFox cyber threat intelligence-waarschuwingen op te nemen in Microsoft Sentinel.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Connectorkenmerken
| Kenmerk connector | Beschrijving |
|---|---|
| Log Analytics-tabellen | ZeroFox_CTI_advanced_dark_web_CL ZeroFox_CTI_botnet_CL ZeroFox_CTI_breaches_CL ZeroFox_CTI_C2_CL ZeroFox_CTI_compromised_credentials_CL ZeroFox_CTI_credit_cards_CL ZeroFox_CTI_dark_web_CL ZeroFox_CTI_discord_CL ZeroFox_CTI_disruption_CL ZeroFox_CTI_email_addresses_CL ZeroFox_CTI_exploits_CL ZeroFox_CTI_irc_CL ZeroFox_CTI_malware_CL ZeroFox_CTI_national_ids_CL ZeroFox_CTI_phishing_CL ZeroFox_CTI_phone_numbers_CL ZeroFox_CTI_ransomware_CL ZeroFox_CTI_telegram_CL ZeroFox_CTI_threat_actors_CL ZeroFox_CTI_vulnerabilities_CL |
| Ondersteuning voor regels voor gegevensverzameling | Wordt momenteel niet ondersteund |
| Ondersteund door | ZeroFox |
Voorbeelden van query's
ZeroFox CTI C2-domeinenlogboeken
ZeroFox_CTI_C2_CL
| sort by TimeGenerated desc
Logboeken van ZeroFox CTI-e-mailadressen
ZeroFox_CTI_email_addresses_CL
| sort by TimeGenerated desc
ZeroFox CTI-malwarelogboeken
ZeroFox_CTI_malware_CL
| sort by TimeGenerated desc
Vereisten
Als u wilt integreren met ZeroFox CTI (met behulp van Azure Functions), moet u ervoor zorgen dat u het volgende hebt:
- Machtigingen voor Microsoft.Web/sites: Lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Raadpleeg de documentatie voor meer informatie over Azure Functions.
- ZeroFox API-referenties/machtigingen: ZeroFox Username, ZeroFox Personal Access Token zijn vereist voor ZeroFox CTI REST API.
Installatie-instructies van leverancier
Notitie
Deze connector maakt gebruik van Azure Functions om verbinding te maken met de ZeroFox CTI REST API om logboeken in Microsoft Sentinel op te halen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met prijzen van Azure Functions voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies voor het gebruik van Azure Key Vault met een Azure Function-app.
STAP 1: Ophalen van ZeroFox-referenties:
Volg deze instructies voor het instellen van logboekregistratie en het verkrijgen van referenties.
- Meld u aan bij de website van ZeroFox. met uw gebruikersnaam en wachtwoord 2: klik op de knop Instellingen en ga naar de sectie Gegevensconnectors. 3 - Selecteer het tabblad API-GEGEVENSFEEDs en ga naar de onderkant van de pagina, selecteer Opnieuw instellen in het vak API-gegevens om een persoonlijk toegangstoken te verkrijgen dat samen met uw gebruikersnaam moet worden gebruikt.
**STAP 2: De Azure Function-gegevensconnectors implementeren met behulp van de Azure Resource Manager-sjabloon: **
BELANGRIJK: Voordat u de ZeroFox CTI-gegevensconnector implementeert, moet u beschikken over de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit het volgende), direct beschikbaar.
Resources voorbereiden voor implementatie.
Klik op de knop Implementeren in Azure hieronder.
Selecteer het voorkeursabonnement, de resourcegroep, de Log Analytics-werkruimte en de locatie.
Voer de werkruimte-id, werkruimtesleutel, ZeroFox-gebruikersnaam, ZeroFox Personal Access Token in
Klik op Controleren + Maken om te implementeren.
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.