你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 ZeroFox CTI(使用 Azure Functions)连接器
ZeroFox CTI 数据连接器提供将不同 ZeroFox 网络威胁情报警报引入 Microsoft Sentinel 的功能。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | ZeroFox_CTI_advanced_dark_web_CL ZeroFox_CTI_botnet_CL ZeroFox_CTI_breaches_CL ZeroFox_CTI_C2_CL ZeroFox_CTI_compromised_credentials_CL ZeroFox_CTI_credit_cards_CL ZeroFox_CTI_dark_web_CL ZeroFox_CTI_discord_CL ZeroFox_CTI_disruption_CL ZeroFox_CTI_email_addresses_CL ZeroFox_CTI_exploits_CL ZeroFox_CTI_irc_CL ZeroFox_CTI_malware_CL ZeroFox_CTI_national_ids_CL ZeroFox_CTI_phishing_CL ZeroFox_CTI_phone_numbers_CL ZeroFox_CTI_ransomware_CL ZeroFox_CTI_telegram_CL ZeroFox_CTI_threat_actors_CL ZeroFox_CTI_vulnerabilities_CL |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | ZeroFox |
查询示例
ZeroFox CTI C2 域日志
ZeroFox_CTI_C2_CL
| sort by TimeGenerated desc
ZeroFox CTI 电子邮件地址日志
ZeroFox_CTI_email_addresses_CL
| sort by TimeGenerated desc
ZeroFox CTI 恶意软件日志
ZeroFox_CTI_malware_CL
| sort by TimeGenerated desc
先决条件
若要与 ZeroFox CTI(使用 Azure Functions)集成,请确保具有:
- Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
- ZeroFox API 凭据/权限:ZeroFox 用户名,ZeroFox 个人访问令牌是 ZeroFox CTI REST API 所需的。
供应商安装说明
注意
此连接器使用 Azure Functions 连接到 ZeroFox CTI REST API,以将日志拉取到 Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页。
(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。
步骤 1 - 检索 ZeroFox 凭据:
按照这些说明设置日志记录和获取凭据。
- 登录到 ZeroFox 的网站。 使用用户名和密码 2 - 单击“设置”按钮,转到“数据连接器”部分。 3 - 选择“API 数据馈送”选项卡并转到页面底部,选择“API 信息”框中的“重置”,以获取要与用户名一起使用的个人访问令牌。
**步骤 2 - 使用 Azure 资源管理器模板部署 Azure 函数数据连接器:**
重要说明:在部署 ZeroFox CTI 数据连接器之前,请准备好工作区 ID 和工作区主密钥(可从下面复制)。
准备用于部署的资源。
单击下面的“部署到 Azure” 按钮。
选择首选的“订阅”、“资源组”、“Log Analytics 工作区”和“位置”。
输入“工作区 ID”、“工作区密钥”、“ZeroFox 用户名”、“ZeroFox 个人访问令牌”
单击“查看 + 创建”以部署。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。