[Doporučeno] Infoblox SOC Insight Data Connector prostřednictvím konektoru AMA pro Microsoft Sentinel
Datový konektor Infoblox SOC Insight umožňuje snadno připojit data Infoblox BloxOne SOC Insight s Microsoft Sentinelem. Propojením protokolů s Microsoft Sentinelem můžete pro každý protokol využít výhod vyhledávání a korelace, upozorňování a rozšiřování analýzy hrozeb.
Tento datový konektor ingestuje infoblox SOC Insight CDC do vašeho pracovního prostoru služby Log Analytics pomocí nového agenta služby Azure Monitor. Další informace o ingestování pomocí nového agenta služby Azure Monitor najdete tady. Microsoft doporučuje používat tento datový konektor.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
Atributy konektoru
| Atribut konektoru | Popis |
|---|---|
| Tabulky Log Analytics | CommonSecurityLog (InfobloxCDC_SOCInsights) |
| Podpora pravidel shromažďování dat | Transformace pracovního prostoru – DCR |
| Podporováno | Infoblox |
Ukázky dotazů
Vrácení všech protokolů zahrnujících tunelování DNS
InfobloxCDC_SOCInsights
| where ThreatType == "DNS Tunneling"
Vrácení všech protokolů zahrnujících problém s konfigurací
InfobloxCDC_SOCInsights
| where ThreatClass == "TI-CONFIGURATIONISSUE"
Vrácení všech protokolů vysoké úrovně hrozeb
InfobloxCDC_SOCInsights
| where ThreatLevel == "High"
Vrácení vygenerovaných protokolů stavu
InfobloxCDC_SOCInsights
| where Status == "RAISED"
Vrácení protokolů zahrnujících velké množství odblokovaných přístupů DNS
InfobloxCDC_SOCInsights
| where NotBlockedCount >= 100
Vrácení jednotlivých přehledů podle ThreatFamily
InfobloxCDC_SOCInsights
| summarize dcount(InfobloxInsightID) by ThreatFamily
Požadavky
Pokud chcete provést integraci s [doporučenou] datovým konektorem Infoblox SOC Insight přes AMA, ujistěte se, že máte:
- : Pokud chcete shromažďovat data z virtuálních počítačů mimo Azure, musí mít nainstalovanou a povolenou službu Azure Arc. Další informace
- : Je nutné nainstalovat common event Format (CEF) přes AMA a Syslog prostřednictvím datových konektorů AMA. Další informace
Pokyny k instalaci dodavatele
Klíče pracovního prostoru
Abyste mohli playbooky používat jako součást tohoto řešení, vyhledejte id pracovního prostoru a primární klíč pracovního prostoru níže.
Klíč pracovního prostoru
Analyzátory
Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání, označované jako InfobloxCDC_SOCInsights nasazené s řešením Microsoft Sentinel.
Přehledy SOC
Tento datový konektor předpokládá, že máte přístup k Infoblox BloxOne Threat Defense SOC Insights. Další informace o přehledech SOC najdete tady.
Infoblox Cloud Data Connector
Tento datový konektor předpokládá, že hostitel datového konektoru Infoblox již byl vytvořen a nakonfigurován na portálu služby Infoblox Cloud Services (CSP). Protože infoblox Data Connector je funkce BloxOne Threat Defense, je vyžadován přístup k příslušnému předplatnému BloxOne Threat Defense. Další informace a licenční požadavky najdete v této úvodní příručce.
- Zabezpečení počítače
Nezapomeňte nakonfigurovat zabezpečení počítače podle zásad zabezpečení vaší organizace.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.