Поделиться через

Соединитель ZeroFox CTI (с помощью Функции Azure) для Microsoft Sentinel

  • Статья

Соединители данных ZeroFox CTI предоставляют возможность приема различных оповещений аналитики кибер-угроз ZeroFox в Microsoft Sentinel.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Таблицы Log Analytics ZeroFox_CTI_advanced_dark_web_CL
ZeroFox_CTI_botnet_CL
ZeroFox_CTI_breaches_CL
ZeroFox_CTI_C2_CL
ZeroFox_CTI_compromised_credentials_CL
ZeroFox_CTI_credit_cards_CL
ZeroFox_CTI_dark_web_CL
ZeroFox_CTI_discord_CL
ZeroFox_CTI_disruption_CL
ZeroFox_CTI_email_addresses_CL
ZeroFox_CTI_exploits_CL
ZeroFox_CTI_irc_CL
ZeroFox_CTI_malware_CL
ZeroFox_CTI_national_ids_CL
ZeroFox_CTI_phishing_CL
ZeroFox_CTI_phone_numbers_CL
ZeroFox_CTI_ransomware_CL
ZeroFox_CTI_telegram_CL
ZeroFox_CTI_threat_actors_CL
ZeroFox_CTI_vulnerabilities_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается ZeroFox

Примеры запросов

Журналы CTI C2-доменов ZeroFox

ZeroFox_CTI_C2_CL

| sort by TimeGenerated desc

Журналы адресов электронной почты ZeroFox CTI

ZeroFox_CTI_email_addresses_CL

| sort by TimeGenerated desc

Журналы вредоносных программ ZeroFox CTI

ZeroFox_CTI_malware_CL

| sort by TimeGenerated desc

Необходимые компоненты

Чтобы интегрироваться с ZeroFox CTI (с помощью Функции Azure), убедитесь, что у вас есть:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
  • Учетные данные и разрешения API ZeroFox: имя пользователя ZeroFox, личный маркер доступа ZeroFox требуется для REST API ZeroFox CTI.

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к REST API ZeroFox CTI для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

ШАГ 1. Получение учетных данных ZeroFox:

Следуйте этим инструкциям по настройке ведения журнала и получению учетных данных.

  1. Войдите на веб-сайт ZeroFox. используя имя пользователя и пароль 2. Нажмите кнопку "Параметры" и перейдите в раздел соединителей данных. 3. Выберите вкладку API DATA FEEDS и перейдите в нижней части страницы, выберите "Сброс " в поле сведений API, чтобы получить личный маркер доступа, который будет использоваться вместе с именем пользователя.

**ШАГ 2. Развертывание соединителей данных функции Azure с помощью шаблона Azure Resource Manager: **

ВАЖНО. Прежде чем развертывать соединитель данных ZeroFox CTI, укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего).

Подготовка ресурсов к развертыванию.

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в Azure

  2. Выберите предпочтительную подписку, группу ресурсов, рабочую область Log Analytics и расположение.

  3. Введите идентификатор рабочей области, ключ рабочей области, имя пользователя ZeroFox, маркер личного доступа ZeroFox

  5. Нажмите кнопку " Рецензирование и создание ", чтобы развернуть.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.