ZeroFox CTI (az Azure Functions használatával) összekötő a Microsoft Sentinelhez
A ZeroFox CTI-adatösszekötők lehetővé teszik a különböző ZeroFox kiberfenyegetési riasztások Microsoft Sentinelbe való betöltését.
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Összekötő attribútumai
Összekötő attribútum | Leírás |
---|---|
Log Analytics-tábla(ok) | ZeroFox_CTI_advanced_dark_web_CL ZeroFox_CTI_botnet_CL ZeroFox_CTI_breaches_CL ZeroFox_CTI_C2_CL ZeroFox_CTI_compromised_credentials_CL ZeroFox_CTI_credit_cards_CL ZeroFox_CTI_dark_web_CL ZeroFox_CTI_discord_CL ZeroFox_CTI_disruption_CL ZeroFox_CTI_email_addresses_CL ZeroFox_CTI_exploits_CL ZeroFox_CTI_irc_CL ZeroFox_CTI_malware_CL ZeroFox_CTI_national_ids_CL ZeroFox_CTI_phishing_CL ZeroFox_CTI_phone_numbers_CL ZeroFox_CTI_ransomware_CL ZeroFox_CTI_telegram_CL ZeroFox_CTI_threat_actors_CL ZeroFox_CTI_vulnerabilities_CL |
Adatgyűjtési szabályok támogatása | Jelenleg nem támogatott |
Támogatja: | ZeroFox |
Példák lekérdezésekre
ZeroFox CTI C2-domains naplók
ZeroFox_CTI_C2_CL
| sort by TimeGenerated desc
ZeroFox CTI e-mail-címek naplói
ZeroFox_CTI_email_addresses_CL
| sort by TimeGenerated desc
ZeroFox CTI kártevőnaplók
ZeroFox_CTI_malware_CL
| sort by TimeGenerated desc
Előfeltételek
A ZeroFox CTI-vel való integráláshoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:
- Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
- ZeroFox API hitelesítő adatai/engedélyei: ZeroFox felhasználónév, ZeroFox személyes hozzáférési jogkivonat szükséges a ZeroFox CTI REST API-hoz.
Szállító telepítési útmutatója
Feljegyzés
Ez az összekötő az Azure Functions használatával csatlakozik a ZeroFox CTI REST API-hoz a naplók Microsoft Sentinelbe való lekéréséhez. Ez további adatbetöltési költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát .
(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.
1. LÉPÉS – ZeroFox-hitelesítő adatok lekérése:
Kövesse ezeket az utasításokat a naplózás beállításához és a hitelesítő adatok beszerzéséhez.
- Jelentkezzen be a ZeroFox webhelyére. a felhasználónév és a jelszó 2 használatával – Kattintson a Beállítások gombra, és lépjen az Adatösszekötők szakaszra. 3 – Válassza ki az API DATA FEEDS lapját, és lépjen a lap aljára, válassza az Alaphelyzetbe állítás lehetőséget az API-információk mezőben, és szerezze be a felhasználónévvel együtt használandó személyes hozzáférési jogkivonatot.
**2. LÉPÉS – Az Azure-függvény adatösszekötőinek üzembe helyezése az Azure Resource Manager-sablonnal: **
FONTOS: A ZeroFox CTI-adatösszekötő üzembe helyezése előtt a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (az alábbiakból másolható) könnyen elérhető legyen.
Erőforrások előkészítése az üzembe helyezéshez.
Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.
Válassza ki az előnyben részesített előfizetést, erőforráscsoportot, log analytics-munkaterületet és helyet.
Adja meg a munkaterület azonosítóját, a munkaterületkulcsot, a ZeroFox felhasználónevet, a ZeroFox személyes hozzáférési jogkivonatot
Kattintson a Véleményezés + Létrehozás gombra az üzembe helyezéshez.
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.