Поделиться через

Соединитель feedly для Microsoft Sentinel

  • Статья

Этот соединитель позволяет приему ioCs из Feedly.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics feedly_indicators_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Feedly Inc

Примеры запросов

Все собранные iocs

feedly_indicators_CL

| sort by TimeGenerated desc

Ip-адреса

feedly_indicators_CL

| where type_s == "ip"

| sort by TimeGenerated desc

Необходимые компоненты

Чтобы интегрироваться с Feedly, убедитесь, что у вас есть:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
  • Пользовательские предварительные требования при необходимости удаляются в противном случае этот таможенный тег: описание любых пользовательских предварительных требований

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к Feedly для извлечения IoCs в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault.

Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

Шаг 1. Получение маркера API веб-канала

Перейдите к https://feedly.com/i/team/api соединителю и создайте новый маркер API.

Шаг 2. Развертывание соединителя

Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure**

ВАЖНО. Перед развертыванием соединителя Feedly укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также маркер API веб-канала, легко доступный.

Вариант 1. Шаблон Azure Resource Manager (ARM)

Используйте этот метод для автоматического развертывания соединителя Feedly.

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в Azure

  2. Выберите предпочтительную подписку, группу ресурсов и расположение.

  3. Введите SentinelWorkspaceId, SentinelWorkspaceKey, FeedlyApiKey, FeedlyStreamIds, DaysToBackfill.

Примечание. Если вы используете секреты Azure Key Vault для любого из указанных выше значений, используйте схему@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault. 4. Пометить проверка box с меткой я согласен с условиями, указанными выше. 5. Нажмите кнопку " Купить ", чтобы развернуть.

Вариант 2. Развертывание Функции Azure вручную

Выполните следующие пошаговые инструкции по развертыванию соединителя Feedly вручную с помощью Функции Azure (развертывание с помощью Visual Studio Code).

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.