你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

适用于 Microsoft Sentinel 的 GreyNoise 威胁情报（使用 Azure Functions）连接器

项目
06/14/2024

此数据连接器可安装 Azure Function 应用，每天下载一次 GreyNoise 指标，并将其插入到 Microsoft Sentinel 中的 ThreatIntelligenceIndicator 表中。

这是自动生成的内容。有关更改，请联系解决方案提供商。

连接器属性

连接器属性	说明
Log Analytics 表	ThreatIntelligenceIndicator
数据收集规则支持	目前不支持
支持的服务	GreyNoise

查询示例

所有威胁情报 API 指标

ThreatIntelligenceIndicator 
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc

先决条件

若要集成 GreyNoise 威胁情报（使用 Azure Functions），请确保具备：

Microsoft.Web/sites 权限：必须对 Azure Functions 拥有读写权限才能创建函数应用。请参阅文档以详细了解 Azure Functions。
GreyNoise API 密钥：在此处检索 GreyNoise API 密钥。

供应商安装说明

可以按照以下步骤将 GreyNoise 威胁情报连接到 Microsoft Sentinel：

以下步骤将创建 Microsoft Entra ID 应用程序、检索 GreyNoise API 密钥，并将值保存在 Azure Function App 配置中。

从 GreyNoise 可视化工具检索 API 密钥。

从 GreyNoise 可视化工具生成 API 密钥https://docs.greynoise.io/docs/using-the-greynoise-api

在 Microsoft Entra ID 租户中，创建Microsoft Entra ID 应用程序并获取租户 ID 和客户端 ID。此外，获取与 Microsoft Sentinel 实例关联的 Log Analytics 工作区 ID（应显示在下面）。

按照此处的说明创建 Microsoft Entra ID 应用并保存客户端 ID 和租户 ID：/azure/sentinel/connect-threat-intelligence-upload-api#instructions 注意：等到第 5 步再生成客户端密码。

为 Microsoft Entra ID 应用程序分配 Microsoft Sentinel 参与者角色。

按照此处的说明添加 Microsoft Sentinel 参与者角色：/azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application

指定 Microsoft Entra ID 权限以启用 MS Graph API 对上传指标 API 的访问。

按照此部分的说明操作，将“ThreatIndicators.ReadWrite.OwnedBy”权限添加到 Microsoft Entra ID 应用：/azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application。回到 Microsoft Entra ID 应用，确保为刚刚添加的权限授予了管理员许可。最后，在“令牌和 API”部分，生成客户端密码并保存。在第 6 步中需要使用此密钥。

部署威胁情报（预览版）解决方案，其中包括威胁情报上传指标 API（预览版）

请参阅此解决方案 Microsoft Sentinel 内容中心，并将其安装在 Microsoft Sentinel 实例中。

部署 Azure Function

单击“部署到 Azure”按钮。

为每个参数填写适当的值。请注意，GREYNOISE_CLASSIFICATIONS 参数的唯一有效值是 benign、malicious 和/或 unknown，必须以逗号分隔。

将指标发送到 Sentinel

在第 6 步中安装的函数应用每天查询一次 GreyNoise GNQL API，并将找到的 STIX 2.1 格式的每个指标提交到 Microsoft 上传威胁情报指标 API。除非在第二天的查询中找到，否则每个指标将在创建后 24 小时内过期。在这种情况下，TI 指标的有效截止时间会再延长 24 小时，从而使其在 Microsoft Sentinel 中保持活动状态。

有关 GreyNoise API 和 GreyNoise 查询语言 (GNQL) 的详细信息，请单击此处。

后续步骤

有关详细信息，请转到 Azure 市场中的相关解决方案。

通过