你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel 的 Feedly 连接器
此连接器允许从 Feedly 引入 IoC。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | feedly_indicators_CL |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | Feedly Inc |
查询示例
收集的所有 IoC
feedly_indicators_CL
| sort by TimeGenerated desc
IP 地址
feedly_indicators_CL
| where type_s == "ip"
| sort by TimeGenerated desc
先决条件
若要与 Feedly 集成,请确保满足以下条件:
- Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
- 如有必要,自定义先决条件,否则请删除此自定义标记:任何自定义先决条件的说明
供应商安装说明
注意
此连接器使用 Azure Functions 连接到 Feedly,将 IoC 拉取到 Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页。
(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。
Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。
步骤 1 - 获取 Feedly API 令牌
转到 https://feedly.com/i/team/api 并为连接器生成新的 API 令牌。
步骤 2 - 部署连接器
从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数**
重要提示:在部署 Feedly 连接器之前,具有工作区 ID 和工作区主密钥(可从以下项复制),以及随时可用的 Feedly API 令牌。
选项 1 - Azure 资源管理器 (ARM) 模板
使用此方法自动部署 Feedly 连接器。
单击下面的“部署到 Azure” 按钮。
选择首选的“订阅”、“资源组”和“位置”。
输入 SentinelWorkspaceId、SentinelWorkspaceKey、FeedlyApiKey、FeedlyStreamIds、DaysToBackfill。
注意:如果针对以上任何值使用 Azure 密钥保管库机密,请使用
@Microsoft.KeyVault(SecretUri={Security Identifier})架构来取代字符串值。 有关更多详细信息,请参阅密钥保管库参考文档。 4. 选中标有“我同意上述条款和条件”的复选框。 5. 单击“购买”进行部署。
选项 2 - 手动部署 Azure Functions
请按照以下分步说明操作,使用 Azure Functions 手动部署 Feedly 连接器(通过 Visual Studio Code 进行部署)。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。