Łącznik ZeroFox CTI (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel
Łączniki danych ZeroFox CTI zapewniają możliwość pozyskiwania różnych alertów analizy zagrożeń cybernetycznych ZeroFox do usługi Microsoft Sentinel.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
Atrybuty łącznika
| Atrybut łącznika | opis |
|---|---|
| Tabele usługi Log Analytics | ZeroFox_CTI_advanced_dark_web_CL ZeroFox_CTI_botnet_CL ZeroFox_CTI_breaches_CL ZeroFox_CTI_C2_CL ZeroFox_CTI_compromised_credentials_CL ZeroFox_CTI_credit_cards_CL ZeroFox_CTI_dark_web_CL ZeroFox_CTI_discord_CL ZeroFox_CTI_disruption_CL ZeroFox_CTI_email_addresses_CL ZeroFox_CTI_exploits_CL ZeroFox_CTI_irc_CL ZeroFox_CTI_malware_CL ZeroFox_CTI_national_ids_CL ZeroFox_CTI_phishing_CL ZeroFox_CTI_phone_numbers_CL ZeroFox_CTI_ransomware_CL ZeroFox_CTI_telegram_CL ZeroFox_CTI_threat_actors_CL ZeroFox_CTI_vulnerabilities_CL |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | ZeroFox |
Przykłady zapytań
Dzienniki zeroFox CTI C2-domains
ZeroFox_CTI_C2_CL
| sort by TimeGenerated desc
Dzienniki adresów e-mail zeroFox CTI
ZeroFox_CTI_email_addresses_CL
| sort by TimeGenerated desc
Dzienniki złośliwego oprogramowania ZeroFox CTI
ZeroFox_CTI_malware_CL
| sort by TimeGenerated desc
Wymagania wstępne
Aby zintegrować aplikację ZeroFox CTI (przy użyciu usługi Azure Functions), upewnij się, że masz:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- ZeroFox API Credentials/permissions: ZeroFox Username, ZeroFox Personal Access Token są wymagane dla interfejsu API REST ZeroFox CTI.
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik używa usługi Azure Functions do nawiązywania połączenia z interfejsem API REST ZeroFox CTI w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.
(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.
KROK 1. Pobieranie poświadczeń ZeroFox:
Postępuj zgodnie z tymi instrukcjami, aby skonfigurować rejestrowanie i uzyskać poświadczenia.
- Zaloguj się do witryny internetowej aplikacji ZeroFox. przy użyciu nazwy użytkownika i hasła 2 — kliknij przycisk Ustawienia i przejdź do sekcji Łączniki danych. 3 — Wybierz kartę ŹRÓDŁA danych interfejsu API i przejdź do dołu strony, wybierz pozycję Resetuj w polu Informacje o interfejsie API, aby uzyskać osobisty token dostępu do użycia wraz z nazwą użytkownika.
**KROK 2 — Wdrażanie łączników danych funkcji platformy Azure przy użyciu szablonu usługi Azure Resource Manager: **
WAŻNE: Przed wdrożeniem łącznika danych ZeroFox CTI należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących), łatwo dostępny.
Przygotowywanie zasobów do wdrożenia.
Kliknij przycisk Wdróż na platformie Azure poniżej.
Wybierz preferowaną subskrypcję, grupę zasobów, obszar roboczy usługi Log Analytics i lokalizację.
Wprowadź identyfikator obszaru roboczego, klucz obszaru roboczego, nazwę użytkownika ZeroFox, osobisty token dostępu ZeroFox
Kliknij pozycję Przejrzyj i utwórz , aby wdrożyć.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.