Konektor ZeroFox CTI (menggunakan Azure Functions) untuk Microsoft Sentinel
Konektor data ZeroFox CTI menyediakan kemampuan untuk menyerap pemberitahuan inteligensi ancaman cyber ZeroFox yang berbeda ke Microsoft Azure Sentinel.
Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.
Atribut konektor
Atribut konektor | Deskripsi |
---|---|
Tabel Log Analytics | ZeroFox_CTI_advanced_dark_web_CL ZeroFox_CTI_botnet_CL ZeroFox_CTI_breaches_CL ZeroFox_CTI_C2_CL ZeroFox_CTI_compromised_credentials_CL ZeroFox_CTI_credit_cards_CL ZeroFox_CTI_dark_web_CL ZeroFox_CTI_discord_CL ZeroFox_CTI_disruption_CL ZeroFox_CTI_email_addresses_CL ZeroFox_CTI_exploits_CL ZeroFox_CTI_irc_CL ZeroFox_CTI_malware_CL ZeroFox_CTI_national_ids_CL ZeroFox_CTI_phishing_CL ZeroFox_CTI_phone_numbers_CL ZeroFox_CTI_ransomware_CL ZeroFox_CTI_telegram_CL ZeroFox_CTI_threat_actors_CL ZeroFox_CTI_vulnerabilities_CL |
Dukungan aturan pengumpulan data | Saat ini tidak didukung |
Didukung oleh | ZeroFox |
Kueri sampel
Log ZeroFox CTI C2-domains
ZeroFox_CTI_C2_CL
| sort by TimeGenerated desc
Log Alamat Email ZeroFox CTI
ZeroFox_CTI_email_addresses_CL
| sort by TimeGenerated desc
Log Malware ZeroFox CTI
ZeroFox_CTI_malware_CL
| sort by TimeGenerated desc
Prasyarat
Untuk berintegrasi dengan ZeroFox CTI (menggunakan Azure Functions) pastikan Anda memiliki:
- Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
- Kredensial/izin ZEROFox API: Nama Pengguna ZeroFox, Token Akses Pribadi ZeroFox diperlukan untuk ZEROFox CTI REST API.
Instruksi penginstalan vendor
Catatan
Konektor ini menggunakan Azure Functions untuk menyambungkan ke ZEROFox CTI REST API untuk menarik log ke Microsoft Sentinel. Ini dapat mengakibatkan biaya penyerapan data tambahan. Periksa halaman Harga Azure Functions untuk detailnya.
(Langkah Opsional) Simpan ruang kerja dan kunci otorisasi API atau token dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti petunjuk ini untuk menggunakan Azure Key Vault dengan Azure Function App.
LANGKAH 1 - Pengambilan kredensial ZeroFox:
Ikuti instruksi ini untuk menyiapkan pengelogan dan mendapatkan kredensial.
- Masuk ke situs web ZeroFox. menggunakan nama pengguna dan kata sandi Anda 2 - Klik tombol Pengaturan dan buka Bagian Konektor Data. 3 - Pilih tab UMPAN DATA API dan buka bagian bawah halaman, pilih Reset di kotak Informasi API, untuk mendapatkan Token Akses Pribadi yang akan digunakan bersama dengan nama pengguna Anda.
**LANGKAH 2 - Sebarkan konektor data Azure Function menggunakan templat Azure Resource Manager: **
PENTING: Sebelum menyebarkan konektor data ZeroFox CTI, miliki ID Ruang Kerja dan Kunci Primer Ruang Kerja (dapat disalin dari yang berikut), tersedia dengan mudah.
Menyiapkan sumber daya untuk penyebaran.
Klik tombol Sebarkan ke Azure di bawah ini.
Pilih Langganan, Grup Sumber Daya, Ruang Kerja analitik log, dan Lokasi pilihan.
Masukkan ID Ruang Kerja, Kunci Ruang Kerja, Nama Pengguna ZeroFox, Token Akses Pribadi ZeroFox
Klik Tinjau + Buat untuk menyebarkan.
Langkah berikutnya
Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.