[Doporučeno] Infoblox Cloud Data Connector prostřednictvím konektoru AMA pro Microsoft Sentinel
Cloudový datový konektor Infoblox umožňuje snadno propojit data Infobloxu s Microsoft Sentinelem. Propojením protokolů s Microsoft Sentinelem můžete pro každý protokol využít výhod vyhledávání a korelace, upozorňování a rozšiřování analýzy hrozeb.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
Atributy konektoru
| Atribut konektoru | Popis |
|---|---|
| Tabulky Log Analytics | CommonSecurityLog |
| Podpora pravidel shromažďování dat | Transformace pracovního prostoru – DCR |
| Podporováno | Infoblox |
Ukázky dotazů
Vrácení všech protokolů blokovaných dotazů a odpovědí DNS
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
Vrácení všech protokolů dotazů a odpovědí DNS
CommonSecurityLog
| where DeviceEventClassID has_cs "DNS"
Vrácení všech protokolů dotazů a odpovědí DHCP
CommonSecurityLog
| where DeviceEventClassID has_cs "DHCP"
Vrácení všech protokolů služby – dotazování nebo odezvy
CommonSecurityLog
| where DeviceEventClassID has_cs "Service"
Vrátit všechny protokoly dotazů nebo odpovědí auditu
CommonSecurityLog
| where DeviceEventClassID has_cs "Audit"
Vrácení všech protokolů událostí zabezpečení filtry kategorií
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| where AdditionalExtensions has_cs "InfobloxRPZ=CAT_"
Vrácení všech protokolů událostí zabezpečení filtrů aplikací
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| where AdditionalExtensions has_cs "InfobloxRPZ=APP_"
Vrátit 10 nejlepších 10 přístupových domén TD
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| summarize count() by DestinationDnsDomain
| top 10 by count_ desc
Vrátit 10 nejčastějších ip adres zdrojů TD – počet přístupů
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| summarize count() by SourceIP
| top 10 by count_ desc
Vrácení nedávno vytvořených zapůjčení DHCP
CommonSecurityLog
| where DeviceEventClassID == "DHCP-LEASE-CREATE"
Pokyny k instalaci dodavatele
DŮLEŽITÉ: Tento datový konektor Microsoft Sentinel předpokládá, že hostitel datového konektoru Infoblox již byl vytvořen a nakonfigurován na portálu služby Infoblox Cloud Services (CSP). Vzhledem k tomu, že datový konektor Infoblox je funkcí ochrany před hrozbami, vyžaduje se přístup k příslušnému předplatnému ochrany před hrozbami. Další informace a licenční požadavky najdete v této úvodní příručce.
- Konfigurace agenta Syslog pro Linux
Nainstalujte a nakonfigurujte agenta Linuxu tak, aby shromažďoval zprávy Syslogu ve formátu CEF (Common Event Format) a předával je do Služby Microsoft Sentinel.
Všimněte si, že data ze všech oblastí budou uložena ve vybraném pracovním prostoru.
1.1 Výběr nebo vytvoření počítače s Linuxem
Vyberte nebo vytvořte počítač s Linuxem, který Bude Microsoft Sentinel používat jako proxy server mezi vaším řešením zabezpečení a Microsoft Sentinelem, může být váš místní prostředí, Azure nebo jiné cloudy.
1.2 Instalace kolektoru CEF na počítači s Linuxem
Nainstalujte agenta Microsoft Monitoring Agent na počítač s Linuxem a nakonfigurujte počítač tak, aby naslouchal potřebným portům a přeposílal zprávy do pracovního prostoru Služby Microsoft Sentinel. Kolektor CEF shromažďuje zprávy CEF na portu 514 TCP.
- Pomocí následujícího příkazu se ujistěte, že máte na svém počítači Python: python -version.
- Na počítači musíte mít zvýšená oprávnění (sudo).
Spuštěním následujícího příkazu nainstalujte a použijte kolektor CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Nakonfigurujte Infoblox tak, aby odesílala data Syslogu do datového konektoru Infoblox Cloud, aby se předal agent Syslog.
Postupujte podle následujících kroků a nakonfigurujte infoblox CDC tak, aby odesílala data do Microsoft Sentinelu přes agenta Syslog pro Linux.
- Přejděte ke správě > datového konektoru.
- Klikněte na kartu Konfigurace cíle v horní části.
- Klikněte na Vytvořit > syslog.
- Název: Dejte novému cíli smysluplný název, například Microsoft-Sentinel-Destination.
- Popis: Volitelně ho dejte smysluplný popis.
- Stav: Nastavte stav na Povoleno.
- Formát: Nastavte formát na CEF.
- Plně kvalifikovaný název domény nebo IP adresa: Zadejte IP adresu zařízení s Linuxem, na kterém je nainstalovaný agent Linuxu.
- Port: Číslo portu ponechte na 514.
- Protokol: V případě potřeby vyberte požadovaný protokol a certifikát certifikační autority.
- Klikněte na Save & Close (Uložit a zavřít).
- Klikněte na kartu Konfigurace toku provozu v horní části.
- Klikněte na Vytvořit.
- Název: Dejte novému toku provozu smysluplný název, například Microsoft-Sentinel-Flow.
- Popis: Volitelně ho dejte smysluplný popis.
- Stav: Nastavte stav na Povoleno.
- Rozbalte část Instance služby.
- Instance služby: Vyberte požadovanou instanci služby, pro kterou je povolená služba Datového konektoru.
- Rozbalte část Konfigurace zdroje.
- Zdroj: Vyberte zdroj cloudu BloxOne.
- Vyberte všechny požadované typy protokolů, které chcete shromáždit. Aktuálně podporované typy protokolů:
- Protokol dotazů a odpovědí ochrany před hrozbami
- Protokol přístupů k informačním kanálům hrozeb pro ochranu před hrozbami
- Protokol dotazů a odpovědí DDI
- Protokol zapůjčení DHCP DDI
- Rozbalte část Konfigurace cíle.
- Vyberte cíl, který jste právě vytvořili.
- Klikněte na Save & Close (Uložit a zavřít).
Chvíli povolte aktivaci konfigurace.
Ověření připojení
Podle pokynů ověřte připojení:
Otevřete Log Analytics a zkontrolujte, jestli se protokoly přijímají pomocí schématu CommonSecurityLog.
Může to trvat přibližně 20 minut, než připojení streamuje data do vašeho pracovního prostoru.
Pokud protokoly nejsou přijaty, spusťte následující ověřovací skript připojení:
- Pomocí následujícího příkazu se ujistěte, že máte na počítači Python: python -version.
- Na počítači musíte mít zvýšená oprávnění (sudo).
Spuštěním následujícího příkazu ověřte připojení:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Zabezpečení počítače
Nezapomeňte nakonfigurovat zabezpečení počítače podle zásad zabezpečení vaší organizace.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.