مشاركة عبر

موصل ZeroFox CTI (باستخدام Azure Functions) ل Microsoft Sentinel

  • مقالة

توفر موصلات بيانات ZeroFox CTI القدرة على استيعاب تنبيهات التحليل الذكي للمخاطر الإلكترونية ZeroFox المختلفة في Microsoft Sentinel.

هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.

سمات الموصل

سمة الموصل ‏‏الوصف
جدول (جداول) Log Analytics ZeroFox_CTI_advanced_dark_web_CL
ZeroFox_CTI_botnet_CL
ZeroFox_CTI_breaches_CL
ZeroFox_CTI_C2_CL
ZeroFox_CTI_compromised_credentials_CL
ZeroFox_CTI_credit_cards_CL
ZeroFox_CTI_dark_web_CL
ZeroFox_CTI_discord_CL
ZeroFox_CTI_disruption_CL
ZeroFox_CTI_email_addresses_CL
ZeroFox_CTI_exploits_CL
ZeroFox_CTI_irc_CL
ZeroFox_CTI_malware_CL
ZeroFox_CTI_national_ids_CL
ZeroFox_CTI_phishing_CL
ZeroFox_CTI_phone_numbers_CL
ZeroFox_CTI_ransomware_CL
ZeroFox_CTI_telegram_CL
ZeroFox_CTI_threat_actors_CL
ZeroFox_CTI_vulnerabilities_CL
دعم قواعد جمع البيانات غير مدعوم حاليًا
مدعومة من قبل ZeroFox

عينات الاستعلام

سجلات مجالات ZeroFox CTI C2

ZeroFox_CTI_C2_CL

| sort by TimeGenerated desc

سجلات عناوين البريد الإلكتروني ل ZeroFox CTI

ZeroFox_CTI_email_addresses_CL

| sort by TimeGenerated desc

سجلات البرامج الضارة ZeroFox CTI

ZeroFox_CTI_malware_CL

| sort by TimeGenerated desc

المتطلبات الأساسية

للتكامل مع ZeroFox CTI (باستخدام Azure Functions) تأكد من أن لديك:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى Azure Functions لإنشاء تطبيق دالة. راجع الوثائق لمعرفة المزيد حول Azure Functions.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات ZeroFox: اسم المستخدم ZeroFox، رمز الوصول الشخصي ZeroFox مطلوب لواجهة برمجة تطبيقات ZeroFox CTI REST.

إرشادات تثبيت المورد

إشعار

يستخدم هذا الموصل Azure Functions للاتصال بواجهة برمجة تطبيقات ZeroFox CTI REST لسحب السجلات إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف استيعاب بيانات إضافية. تحقق من صفحة تسعير Azure Functions للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات بشكل آمن أو الرمز المميز (الرموز المميزة) في Azure Key Vault. Azure Key Vault يوفر آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1 - استرداد بيانات اعتماد ZeroFox:

اتبع هذه الإرشادات لإعداد التسجيل والحصول على بيانات الاعتماد.

  1. سجل الدخول إلى موقع ZeroFox على الويب. استخدام اسم المستخدم وكلمة المرور 2 - انقر فوق زر الإعدادات وانتقل إلى قسم موصلات البيانات. 3 - حدد علامة التبويب API DATA FEEDS واتجه إلى أسفل الصفحة، وحدد إعادة تعيين في مربع معلومات واجهة برمجة التطبيقات، للحصول على رمز مميز للوصول الشخصي لاستخدامه مع اسم المستخدم الخاص بك.

**الخطوة 2 - نشر موصلات بيانات Azure Function باستخدام قالب Azure Resource Manager: **

هام: قبل نشر موصل بيانات ZeroFox CTI، يكون معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من التالي)، متوفرين بسهولة.

إعداد الموارد للنشر.

  1. انقر فوق الزر Deploy to Azure أدناه.

    النشر على Azure

  2. حدد الاشتراك المفضل ومجموعة الموارد ومساحة عمل تحليلات السجل والموقع.

  3. أدخل معرف مساحة العمل، ومفتاح مساحة العمل، واسم مستخدم ZeroFox، ورمز الوصول الشخصي إلى ZeroFox

  5. انقر فوق مراجعة + إنشاء للنشر.

الخطوات التالية

لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.