適用於 Microsoft Sentinel 的 GreyNoise Threat Intelligence (使用 Azure Functions) 連接器
此資料連接器會安裝 Azure 函式應用程式,以每天下載一次 GreyNoise 指標,並將其插入 Microsoft Sentinel 的 ThreatIntelligenceIndicator 資料表中。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
連接器屬性 | 描述 |
---|---|
記錄分析資料表 | ThreatIntelligenceIndicator |
資料收集規則支援 | 目前不支援 |
支援者 | GreyNoise |
查詢範例
所有威脅情報 API 指標
ThreatIntelligenceIndicator
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc
必要條件
若要與 GreyNoise Threat Intelligence 整合 (使用 Azure Functions),請確定您有:
- Microsoft.Web/網站權限:需要 Azure Functions 的讀寫權限,才能建立函式應用程式。 請參閱文件以深入了解 Azure Functions。
- GreyNoise API 金鑰:在這裡擷取您的 GreyNoise API 密鑰。
廠商安裝指示
您可以依照下列步驟,將 GreyNoise Threat Intelligence 連線至 Microsoft Sentinel:
下列步驟會建立 Microsoft Entra ID 應用程式、擷取 GreyNoise API 金鑰,並將值儲存在 Azure 函式 應用程式組態 中。
- 從 GreyNoise 視覺化檢視擷取您的 API 金鑰。
從 GreyNoise 視覺化檢視產生 API 金鑰 https://docs.greynoise.io/docs/using-the-greynoise-api
- 在您的 Microsoft Entra ID 租使用者中,建立Microsoft Entra ID 應用程式,並取得租使用者標識碼和用戶端識別符。 此外,取得與您的Microsoft Sentinel 實例相關聯的Log Analytics工作區標識碼(應該如下所示)。
請遵循這裡的指示來建立您的 Microsoft Entra ID 應用程式,並儲存您的用戶端標識碼和租使用者標識碼:/azure/sentinel/connect-threat-intelligence-upload-api#指示注意:等到步驟 5 產生您的客戶端密碼。
- 將Microsoft Sentinel 參與者角色指派給Microsoft Entra ID 應用程式。
請依照這裡的指示新增Microsoft Sentinel 參與者角色:/azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application
- 指定 Microsoft Entra 識別符許可權,以啟用 MS Graph API 對上傳指標 API 的存取。
請遵循本節,將 'ThreatIndicators.ReadWrite.OwnedBy' 許可權新增至 Microsoft Entra ID 應用程式:/azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application。 回到您的 Microsoft Entra ID 應用程式,請確定您已為剛新增的許可權授與系統管理員同意。 最後,在 [權杖和 API] 區段中,產生用戶端密碼並加以儲存。 在步驟 6 會用到此資訊。
- 部署威脅情報 (預覽) 解決方案,其中包含威脅情報上傳指標 API (預覽)
請參閱此解決方案的 Microsoft Sentinel 內容中樞,並將其安裝在Microsoft Sentinel 實例中。
- 部署 Azure Function
按一下 [部署至 Azure] 按鈕。
為每個參數填入適當的值。 請注意,GREYNOISE_CLASSIFICATIONS參數的唯一有效值是良性、惡意和/或未知,必須以逗號分隔。
- 將指標傳送至 Sentinel
在步驟 6 中安裝的函式應用程式會每天查詢一次 GreyNoise GNQL API,並將 STIX 2.1 格式中的每個指標提交至 Microsoft 上傳威脅情報指標 API。 除非在下一天的查詢中找到,否則每個指標都會在建立后 24 小時內到期。 在此情況下,TI 指標的有效 直到 時間再延長 24 小時,這會在 Sentinel Microsoft保持作用中。
如需 GreyNoise API 和 GreyNoise 查詢語言 (GNQL) 的詳細資訊, 請按兩下這裡。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案。