Dela via

ZeroFox CTI-anslutningsprogram (med Azure Functions) för Microsoft Sentinel

  • Artikel

ZeroFox CTI-dataanslutningsappar ger möjlighet att mata in olika ZeroFox cyberhotinformationsaviseringar i Microsoft Sentinel.

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslutningsattribut

Anslutningsattribut beskrivning
Log Analytics-tabeller ZeroFox_CTI_advanced_dark_web_CL
ZeroFox_CTI_botnet_CL
ZeroFox_CTI_breaches_CL
ZeroFox_CTI_C2_CL
ZeroFox_CTI_compromised_credentials_CL
ZeroFox_CTI_credit_cards_CL
ZeroFox_CTI_dark_web_CL
ZeroFox_CTI_discord_CL
ZeroFox_CTI_disruption_CL
ZeroFox_CTI_email_addresses_CL
ZeroFox_CTI_exploits_CL
ZeroFox_CTI_irc_CL
ZeroFox_CTI_malware_CL
ZeroFox_CTI_national_ids_CL
ZeroFox_CTI_phishing_CL
ZeroFox_CTI_phone_numbers_CL
ZeroFox_CTI_ransomware_CL
ZeroFox_CTI_telegram_CL
ZeroFox_CTI_threat_actors_CL
ZeroFox_CTI_vulnerabilities_CL
Stöd för regler för datainsamling Stöds för närvarande inte
Stöds av ZeroFox

Exempel på frågor

ZeroFox CTI C2-domänloggar

ZeroFox_CTI_C2_CL

| sort by TimeGenerated desc

E-postadressloggar för ZeroFox CTI

ZeroFox_CTI_email_addresses_CL

| sort by TimeGenerated desc

ZeroFox CTI Malware Logs

ZeroFox_CTI_malware_CL

| sort by TimeGenerated desc

Förutsättningar

Om du vill integrera med ZeroFox CTI (med Hjälp av Azure Functions) kontrollerar du att du har:

  • Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.
  • ZeroFox API-autentiseringsuppgifter/behörigheter: ZeroFox-användarnamn, ZeroFox Personlig åtkomsttoken krävs för ZeroFox CTI REST API.

Installationsanvisningar för leverantör

Kommentar

Den här anslutningsappen använder Azure Functions för att ansluta till ZeroFox CTI REST API för att hämta loggar till Microsoft Sentinel. Detta kan leda till ytterligare kostnader för datainmatning. Mer information finns på prissättningssidan för Azure Functions.

(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna för att använda Azure Key Vault med en Azure-funktionsapp.

STEG 1 – Hämtning av ZeroFox-autentiseringsuppgifter:

Följ de här anvisningarna för att konfigurera loggning och hämta autentiseringsuppgifter.

  1. Logga in på ZeroFox webbplats. använda ditt användarnamn och lösenord 2 – Klicka på knappen Inställningar och gå till avsnittet Dataanslutningsprogram. 3 – Välj fliken API DATA FEEDS och gå längst ned på sidan, välj Återställ i rutan API-information för att hämta en personlig åtkomsttoken som ska användas tillsammans med ditt användarnamn.

**STEG 2 – Distribuera Azure Function-dataanslutningarna med hjälp av Azure Resource Manager-mallen: **

VIKTIGT! Innan du distribuerar ZeroFox CTI-dataanslutningen måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande) som är lättillgängliga.

Förbereda resurser för distribution.

  1. Klicka på knappen Distribuera till Azure nedan.

    Distribuera till Azure

  2. Välj önskad prenumeration, resursgrupp, Log Analytics-arbetsyta och plats.

  3. Ange arbetsyte-ID, arbetsytenyckel, ZeroFox-användarnamn, ZeroFox personlig åtkomsttoken

  5. Klicka på Granska + Skapa för att distribuera.

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.