Partilhar via

Conector ZeroFox CTI (usando o Azure Functions) para Microsoft Sentinel

  • Artigo

Os conectores de dados CTI ZeroFox fornecem a capacidade de ingerir os diferentes alertas de inteligência de ameaças cibernéticas ZeroFox no Microsoft Sentinel.

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics ZeroFox_CTI_advanced_dark_web_CL
ZeroFox_CTI_botnet_CL
ZeroFox_CTI_breaches_CL
ZeroFox_CTI_C2_CL
ZeroFox_CTI_compromised_credentials_CL
ZeroFox_CTI_credit_cards_CL
ZeroFox_CTI_dark_web_CL
ZeroFox_CTI_discord_CL
ZeroFox_CTI_disruption_CL
ZeroFox_CTI_email_addresses_CL
ZeroFox_CTI_exploits_CL
ZeroFox_CTI_irc_CL
ZeroFox_CTI_malware_CL
ZeroFox_CTI_national_ids_CL
ZeroFox_CTI_phishing_CL
ZeroFox_CTI_phone_numbers_CL
ZeroFox_CTI_ransomware_CL
ZeroFox_CTI_telegram_CL
ZeroFox_CTI_threat_actors_CL
ZeroFox_CTI_vulnerabilities_CL
Suporte a regras de coleta de dados Não é suportado atualmente
Apoiado por ZeroFox

Exemplos de consulta

ZeroFox CTI C2-domínios Logs

ZeroFox_CTI_C2_CL

| sort by TimeGenerated desc

ZeroFox CTI Endereços de e-mail Logs

ZeroFox_CTI_email_addresses_CL

| sort by TimeGenerated desc

ZeroFox CTI Malware Logs

ZeroFox_CTI_malware_CL

| sort by TimeGenerated desc

Pré-requisitos

Para integrar com o ZeroFox CTI (usando o Azure Functions), certifique-se de ter:

  • Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
  • Credenciais/permissões da API ZeroFox: ZeroFox Username, ZeroFox Personal Access Token são necessários para ZeroFox CTI REST API.

Instruções de instalação do fornecedor

Nota

Esse conector usa o Azure Functions para se conectar à API REST do ZeroFox CTI para extrair logs para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.

(Etapa opcional) Armazene com segurança a(s) chave(s) de autorização do espaço de trabalho e da API ou código(s) no Cofre de Chaves do Azure. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um Aplicativo de Função do Azure.

PASSO 1 - Recuperação das credenciais do ZeroFox:

Siga estas instruções para configurar o registo e obter credenciais.

  1. Faça login no site da ZeroFox. usando seu nome de usuário e senha 2 - Clique no botão Configurações e vá para a seção Conectores de dados. 3 - Selecione a guia API DATA FEEDS e vá para a parte inferior da página, selecione Redefinir na caixa Informações da API, para obter um Token de Acesso Pessoal para ser usado junto com seu nome de usuário.

**PASSO 2 - Implementar os conectores de dados do Azure Function utilizando o modelo do Azure Resource Manager: **

IMPORTANTE: Antes de implantar o conector de dados CTI do ZeroFox, tenha o ID do espaço de trabalho e a chave primária do espaço de trabalho (que podem ser copiados do seguinte), prontamente disponíveis.

Preparando recursos para implantação.

  1. Clique no botão Implantar no Azure abaixo.

    Implementar no Azure

  2. Selecione a Assinatura, o Grupo de Recursos, o Espaço de Trabalho de análise de log e o Local preferidos.

  3. Insira o ID do espaço de trabalho, a chave do espaço de trabalho, o nome de usuário do ZeroFox, o token de acesso pessoal do ZeroFox

  5. Clique em Revisão + Criar para implantar.

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.