Connettore GreyNoise Threat Intelligence (con Funzioni di Azure) per Microsoft Sentinel
Questo connettore dati installa un'app per le funzioni di Azure per scaricare gli indicatori GreyNoise una volta al giorno e li inserisce nella tabella ThreatIntelligenceIndicator in Microsoft Sentinel.
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
Attributo connettore | Descrizione |
---|---|
Tabelle Log Analytics | ThreatIntelligenceIndicator |
Supporto regole di raccolta dati | Non è al momento supportato |
Supportata da: | GreyNoise |
Esempi di query
Tutti gli indicatori delle API di Intelligence per le minacce
ThreatIntelligenceIndicator
| where SourceSystem == 'GreyNoise'
| sort by TimeGenerated desc
Prerequisiti
Per eseguire l'integrazione con GreyNoise Threat Intelligence (usando Funzioni di Azure) assicurarsi di avere:
- autorizzazioni Microsoft.Web/siti: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure al fine di creare un'app per le funzioni. Vedere la documentazione per altre informazioni su Funzioni di Azure.
- Chiave API GreyNoise: recuperare la chiave API GreyNoise qui.
Istruzioni per l’installazione di Vendor
È possibile connettere GreyNoise Threat Intelligence a Microsoft Sentinel seguendo questa procedura:
I passaggi seguenti creano un'applicazione Microsoft Entra ID, recuperano una chiave API GreyNoise e salvano i valori in una funzione di Azure Configurazione app.
- Recuperare la chiave API dal visualizzatore GreyNoise.
Generare una chiave API dal visualizzatore GreyNoise https://docs.greynoise.io/docs/using-the-greynoise-api
- Nel tenant microsoft Entra ID creare un'applicazione Microsoft Entra ID e acquisire l'ID tenant e l'ID client. Ottenere anche l'ID dell'area di lavoro Log Analytics associato all'istanza di Microsoft Sentinel (dovrebbe essere visualizzato di seguito).
Seguire le istruzioni riportate qui per creare l'app Microsoft Entra ID e salvare l'ID client e l'ID tenant: /azure/sentinel/connect-threat-intelligence-upload-api#instructions NOTA: Attendere il passaggio 5 per generare il segreto client.
- Assegnare l'applicazione Microsoft Entra ID al ruolo collaboratore di Microsoft Sentinel.
Seguire le istruzioni riportate qui per aggiungere il ruolo collaboratore di Microsoft Sentinel: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application
- Specificare le autorizzazioni microsoft Entra ID per abilitare l'accesso dell'API MS Graph all'API upload-indicators.
Seguire questa sezione qui per aggiungere l'autorizzazione 'ThreatIndicators.ReadWrite.OwnedBy' all'app Microsoft Entra ID: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. Tornare all'app Microsoft Entra ID, assicurarsi di concedere il consenso amministratore per le autorizzazioni appena aggiunte. Infine, nella sezione "Token e API" generare un segreto client e salvarlo. Sarà necessario nel passaggio 6.
- Distribuire la soluzione Intelligence per le minacce (anteprima), che include l'API Degli indicatori di caricamento di Intelligence per le minacce (anteprima)
Vedere Hub del contenuto di Microsoft Sentinel per questa soluzione e installarlo nell'istanza di Microsoft Sentinel.
- Distribuire la funzione di Azure
Fare clic sul pulsante Distribuisci in Azure.
Immettere i valori appropriati per ogni parametro. Tenere presente che gli unici valori validi per il parametro GREYNOISE_CLASSIFICATIONS sono dannosi, dannosi e/o sconosciuti, che devono essere separati da virgole.
- Inviare indicatori a Sentinel
L'app per le funzioni installata nel passaggio 6 esegue una query sull'API GreyNoise GNQL una volta al giorno e invia ogni indicatore trovato nel formato STIX 2.1 all'API Microsoft Upload Threat Intelligence Indicators. Ogni indicatore scade tra circa 24 ore dalla creazione, a meno che non venga trovato nella query del giorno successivo. In questo caso l'indicatore TI è valido fino a quando il tempo viene esteso per altre 24 ore, che lo mantiene attivo in Microsoft Sentinel.
Per altre informazioni sull'API GreyNoise e sul linguaggio di query GreyNoise (GNQL), fare clic qui.
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.