Megosztás a következőn keresztül:


ZeroFox CTI (az Azure Functions használatával) összekötő a Microsoft Sentinelhez

A ZeroFox CTI-adatösszekötők lehetővé teszik a különböző ZeroFox kiberfenyegetési riasztások Microsoft Sentinelbe való betöltését.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Összekötő attribútumai

Összekötő attribútum Leírás
Log Analytics-tábla(ok) ZeroFox_CTI_advanced_dark_web_CL
ZeroFox_CTI_botnet_CL
ZeroFox_CTI_breaches_CL
ZeroFox_CTI_C2_CL
ZeroFox_CTI_compromised_credentials_CL
ZeroFox_CTI_credit_cards_CL
ZeroFox_CTI_dark_web_CL
ZeroFox_CTI_discord_CL
ZeroFox_CTI_disruption_CL
ZeroFox_CTI_email_addresses_CL
ZeroFox_CTI_exploits_CL
ZeroFox_CTI_irc_CL
ZeroFox_CTI_malware_CL
ZeroFox_CTI_national_ids_CL
ZeroFox_CTI_phishing_CL
ZeroFox_CTI_phone_numbers_CL
ZeroFox_CTI_ransomware_CL
ZeroFox_CTI_telegram_CL
ZeroFox_CTI_threat_actors_CL
ZeroFox_CTI_vulnerabilities_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: ZeroFox

Példák lekérdezésekre

ZeroFox CTI C2-domains naplók

ZeroFox_CTI_C2_CL

| sort by TimeGenerated desc

ZeroFox CTI e-mail-címek naplói

ZeroFox_CTI_email_addresses_CL

| sort by TimeGenerated desc

ZeroFox CTI kártevőnaplók

ZeroFox_CTI_malware_CL

| sort by TimeGenerated desc

Előfeltételek

A ZeroFox CTI-vel való integráláshoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:

  • Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
  • ZeroFox API hitelesítő adatai/engedélyei: ZeroFox felhasználónév, ZeroFox személyes hozzáférési jogkivonat szükséges a ZeroFox CTI REST API-hoz.

Szállító telepítési útmutatója

Feljegyzés

Ez az összekötő az Azure Functions használatával csatlakozik a ZeroFox CTI REST API-hoz a naplók Microsoft Sentinelbe való lekéréséhez. Ez további adatbetöltési költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát .

(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.

1. LÉPÉS – ZeroFox-hitelesítő adatok lekérése:

Kövesse ezeket az utasításokat a naplózás beállításához és a hitelesítő adatok beszerzéséhez.

  1. Jelentkezzen be a ZeroFox webhelyére. a felhasználónév és a jelszó 2 használatával – Kattintson a Beállítások gombra, és lépjen az Adatösszekötők szakaszra. 3 – Válassza ki az API DATA FEEDS lapját, és lépjen a lap aljára, válassza az Alaphelyzetbe állítás lehetőséget az API-információk mezőben, és szerezze be a felhasználónévvel együtt használandó személyes hozzáférési jogkivonatot.

**2. LÉPÉS – Az Azure-függvény adatösszekötőinek üzembe helyezése az Azure Resource Manager-sablonnal: **

FONTOS: A ZeroFox CTI-adatösszekötő üzembe helyezése előtt a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (az alábbiakból másolható) könnyen elérhető legyen.

Erőforrások előkészítése az üzembe helyezéshez.

  1. Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.

    Üzembe helyezés az Azure-ban

  2. Válassza ki az előnyben részesített előfizetést, erőforráscsoportot, log analytics-munkaterületet és helyet.

  3. Adja meg a munkaterület azonosítóját, a munkaterületkulcsot, a ZeroFox felhasználónevet, a ZeroFox személyes hozzáférési jogkivonatot

  4. Kattintson a Véleményezés + Létrehozás gombra az üzembe helyezéshez.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.