Bagikan melalui


Konektor ZeroFox CTI (menggunakan Azure Functions) untuk Microsoft Sentinel

Konektor data ZeroFox CTI menyediakan kemampuan untuk menyerap pemberitahuan inteligensi ancaman cyber ZeroFox yang berbeda ke Microsoft Azure Sentinel.

Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.

Atribut konektor

Atribut konektor Deskripsi
Tabel Log Analytics ZeroFox_CTI_advanced_dark_web_CL
ZeroFox_CTI_botnet_CL
ZeroFox_CTI_breaches_CL
ZeroFox_CTI_C2_CL
ZeroFox_CTI_compromised_credentials_CL
ZeroFox_CTI_credit_cards_CL
ZeroFox_CTI_dark_web_CL
ZeroFox_CTI_discord_CL
ZeroFox_CTI_disruption_CL
ZeroFox_CTI_email_addresses_CL
ZeroFox_CTI_exploits_CL
ZeroFox_CTI_irc_CL
ZeroFox_CTI_malware_CL
ZeroFox_CTI_national_ids_CL
ZeroFox_CTI_phishing_CL
ZeroFox_CTI_phone_numbers_CL
ZeroFox_CTI_ransomware_CL
ZeroFox_CTI_telegram_CL
ZeroFox_CTI_threat_actors_CL
ZeroFox_CTI_vulnerabilities_CL
Dukungan aturan pengumpulan data Saat ini tidak didukung
Didukung oleh ZeroFox

Kueri sampel

Log ZeroFox CTI C2-domains

ZeroFox_CTI_C2_CL

| sort by TimeGenerated desc

Log Alamat Email ZeroFox CTI

ZeroFox_CTI_email_addresses_CL

| sort by TimeGenerated desc

Log Malware ZeroFox CTI

ZeroFox_CTI_malware_CL

| sort by TimeGenerated desc

Prasyarat

Untuk berintegrasi dengan ZeroFox CTI (menggunakan Azure Functions) pastikan Anda memiliki:

Instruksi penginstalan vendor

Catatan

Konektor ini menggunakan Azure Functions untuk menyambungkan ke ZEROFox CTI REST API untuk menarik log ke Microsoft Sentinel. Ini dapat mengakibatkan biaya penyerapan data tambahan. Periksa halaman Harga Azure Functions untuk detailnya.

(Langkah Opsional) Simpan ruang kerja dan kunci otorisasi API atau token dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti petunjuk ini untuk menggunakan Azure Key Vault dengan Azure Function App.

LANGKAH 1 - Pengambilan kredensial ZeroFox:

Ikuti instruksi ini untuk menyiapkan pengelogan dan mendapatkan kredensial.

  1. Masuk ke situs web ZeroFox. menggunakan nama pengguna dan kata sandi Anda 2 - Klik tombol Pengaturan dan buka Bagian Konektor Data. 3 - Pilih tab UMPAN DATA API dan buka bagian bawah halaman, pilih Reset di kotak Informasi API, untuk mendapatkan Token Akses Pribadi yang akan digunakan bersama dengan nama pengguna Anda.

**LANGKAH 2 - Sebarkan konektor data Azure Function menggunakan templat Azure Resource Manager: **

PENTING: Sebelum menyebarkan konektor data ZeroFox CTI, miliki ID Ruang Kerja dan Kunci Primer Ruang Kerja (dapat disalin dari yang berikut), tersedia dengan mudah.

Menyiapkan sumber daya untuk penyebaran.

  1. Klik tombol Sebarkan ke Azure di bawah ini.

    Sebarkan ke Azure

  2. Pilih Langganan, Grup Sumber Daya, Ruang Kerja analitik log, dan Lokasi pilihan.

  3. Masukkan ID Ruang Kerja, Kunci Ruang Kerja, Nama Pengguna ZeroFox, Token Akses Pribadi ZeroFox

  4. Klik Tinjau + Buat untuk menyebarkan.

Langkah berikutnya

Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.