Microsoft Sentinel için ZeroFox CTI (Azure İşlevleri kullanarak) bağlayıcısı
ZeroFox CTI veri bağlayıcıları, farklı ZeroFox siber tehdit bilgileri uyarılarını Microsoft Sentinel'e alma özelliği sağlar.
Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.
Bağlayıcı öznitelikleri
| Bağlayıcı özniteliği | Açıklama |
|---|---|
| Log Analytics tabloları | ZeroFox_CTI_advanced_dark_web_CL ZeroFox_CTI_botnet_CL ZeroFox_CTI_breaches_CL ZeroFox_CTI_C2_CL ZeroFox_CTI_compromised_credentials_CL ZeroFox_CTI_credit_cards_CL ZeroFox_CTI_dark_web_CL ZeroFox_CTI_discord_CL ZeroFox_CTI_disruption_CL ZeroFox_CTI_email_addresses_CL ZeroFox_CTI_exploits_CL ZeroFox_CTI_irc_CL ZeroFox_CTI_malware_CL ZeroFox_CTI_national_ids_CL ZeroFox_CTI_phishing_CL ZeroFox_CTI_phone_numbers_CL ZeroFox_CTI_ransomware_CL ZeroFox_CTI_telegram_CL ZeroFox_CTI_threat_actors_CL ZeroFox_CTI_vulnerabilities_CL |
| Veri toplama kuralları desteği | Şu anda desteklenmiyor |
| Destekleyen: | ZeroFox |
Sorgu örnekleri
ZeroFox CTI C2 etki alanları Günlükleri
ZeroFox_CTI_C2_CL
| sort by TimeGenerated desc
ZeroFox CTI E-posta Adresleri Günlükleri
ZeroFox_CTI_email_addresses_CL
| sort by TimeGenerated desc
ZeroFox CTI Kötü Amaçlı Yazılım Günlükleri
ZeroFox_CTI_malware_CL
| sort by TimeGenerated desc
Önkoşullar
ZeroFox CTI ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:
- Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
- ZeroFox API Kimlik Bilgileri/izinleri: ZeroFox Kullanıcı Adı, ZeroFox Kişisel Erişim Belirteci , ZeroFox CTI REST API için gereklidir.
Satıcı yükleme yönergeleri
Not
Bu bağlayıcı, günlükleri Microsoft Sentinel'e çekmek üzere ZeroFox CTI REST API'sine bağlanmak için Azure İşlevleri kullanır. Bu ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.
(İsteğe Bağlı Adım) Azure Key Vault'ta çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlev Uygulaması ile kullanmak için bu yönergeleri izleyin.
ADIM 1 - ZeroFox kimlik bilgilerinin alınması:
Günlüğe kaydetmeyi ayarlamak ve kimlik bilgilerini almak için bu yönergeleri izleyin.
- ZeroFox'un web sitesinde oturum açın. kullanıcı adınızı ve parolanızı kullanarak 2 - Ayarlar düğmesine tıklayın ve Veri Bağlayıcıları Bölümüne gidin. 3 - API DATA FEEDS sekmesini seçin ve sayfanın en altına gidin, kullanıcı adınız ile birlikte kullanılacak kişisel erişim belirtecini almak için API Bilgileri kutusunda Sıfırla'yı seçin.
**ADIM 2 - Azure Resource Manager şablonunu kullanarak Azure İşlevi veri bağlayıcılarını dağıtma: **
ÖNEMLİ: ZeroFox CTI veri bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı'na (aşağıdakilerden kopyalanabilir) sahip olun.
Kaynakları dağıtım için hazırlama.
Aşağıdaki Azure'a Dağıt düğmesine tıklayın.
Tercih edilen Abonelik, Kaynak Grubu, Log Analytics Çalışma Alanı ve Konum'a tıklayın.
Çalışma Alanı Kimliği, Çalışma Alanı Anahtarı, ZeroFox Kullanıcı Adı, ZeroFox Kişisel Erişim Belirteci girin
Dağıtmak için Gözden Geçir + Oluştur'a tıklayın.
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.