Connecteur ZeroFox CTI (avec Azure Functions) pour Microsoft Sentinel
Les connecteurs de données CTI ZeroFox offrent la possibilité d’ingérer les différentes alertes de cyberveille ZeroFox dans Microsoft Sentinel.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | ZeroFox_CTI_advanced_dark_web_CL ZeroFox_CTI_botnet_CL ZeroFox_CTI_breaches_CL ZeroFox_CTI_C2_CL ZeroFox_CTI_compromised_credentials_CL ZeroFox_CTI_credit_cards_CL ZeroFox_CTI_dark_web_CL ZeroFox_CTI_discord_CL ZeroFox_CTI_disruption_CL ZeroFox_CTI_email_addresses_CL ZeroFox_CTI_exploits_CL ZeroFox_CTI_irc_CL ZeroFox_CTI_malware_CL ZeroFox_CTI_national_ids_CL ZeroFox_CTI_phishing_CL ZeroFox_CTI_phone_numbers_CL ZeroFox_CTI_ransomware_CL ZeroFox_CTI_telegram_CL ZeroFox_CTI_threat_actors_CL ZeroFox_CTI_vulnerabilities_CL |
| Prise en charge des règles de collecte de données | Non prise en charge pour le moment |
| Pris en charge par | ZeroFox |
Exemples de requête
Journaux des domaines C2 ZeroFox CTI
ZeroFox_CTI_C2_CL
| sort by TimeGenerated desc
Journaux des adresses e-mail ZeroFox CTI
ZeroFox_CTI_email_addresses_CL
| sort by TimeGenerated desc
Journaux des programmes malveillants ZeroFox CTI
ZeroFox_CTI_malware_CL
| sort by TimeGenerated desc
Prérequis
Pour intégrer ZeroFox CTI (avec Azure Functions), vous devez disposer des éléments suivants :
- Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Consultez la documentation pour en savoir plus sur Azure Functions.
- Informations d’identification/autorisations de l’API ZeroFox : le nom d’utilisateur ZeroFox et le jeton d’accès personnel ZeroFox sont requis pour l’API REST ZeroFox CTI.
Instructions d’installation du fournisseur
Remarque
Ce connecteur utilise Azure Functions pour se connecter à l’API REST ZeroFox CTI et ainsi extraire les journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.
(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.
ÉTAPE 1 : Récupération des informations d’identification ZeroFox :
Suivez ces instructions pour configurer la journalisation et obtenir des informations d’identification.
- Connectez-vous au site web de ZeroFox à l’aide de votre nom d’utilisateur et mot de passe 2. Cliquez sur le bouton Settings et accédez à la section Data Connectors. 3. Sélectionnez l’onglet API DATA FEEDS et, en bas de la page, sélectionnez Reset dans la zone API Information pour obtenir un jeton d’accès personnel à utiliser avec votre nom d’utilisateur.
**ÉTAPE 2 : Déployer les connecteurs de données Azure Functions à l’aide du modèle Azure Resource Manager : **
IMPORTANT : Avant de déployer le connecteur de données ZeroFox CTI, ayez à disposition l’ID et la clé primaire de l’espace de travail (valeurs pouvant être copiées à partir des informations ci-après).
Préparation des ressources pour le déploiement.
Cliquez sur le bouton Déployer sur Azure ci-dessous.
Sélectionnez l’abonnement, le groupe de ressources, l’espace de travail Log Analytics et l’emplacement de votre choix.
Entrez l’ID de l’espace de travail, la clé de l’espace de travail, le nom d’utilisateur ZeroFox et le jeton d’accès personnel ZeroFox.
Cliquez sur Vérifier + créer pour procéder au déploiement.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.