Connector für [Empfohlen] Infoblox Cloud Data Connector über AMA für Microsoft Sentinel
Der Infoblox Cloud Data Connector ermöglicht es Ihnen, Ihre Infoblox-Daten auf einfache Weise mit Microsoft Sentinel zu verbinden. Indem Sie Ihre Protokolle mit Microsoft Sentinel verbinden, können Sie Suche und Korrelation, Benachrichtigung sowie die Threat Intelligence-Anreicherung für jedes Protokoll nutzen.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | CommonSecurityLog |
| Unterstützung für Datensammlungsregeln | Transformations-DCR des Arbeitsbereichs |
| Unterstützt von | Infoblox |
Abfragebeispiele
Zurückgeben aller Block-DNS-Abfrage-/Antwortprotokolle
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
Zurückgeben aller DNS-Abfrage-/Antwortprotokolle
CommonSecurityLog
| where DeviceEventClassID has_cs "DNS"
Zurückgeben aller DHCP-Abfrage-/Antwortprotokolle
CommonSecurityLog
| where DeviceEventClassID has_cs "DHCP"
Zurückgeben aller Dienstprotokoll-Abfrage-/Antwortprotokolle
CommonSecurityLog
| where DeviceEventClassID has_cs "Service"
Zurückgeben aller Audit-Abfrage-/Antwortprotokolle
CommonSecurityLog
| where DeviceEventClassID has_cs "Audit"
Zurückgeben aller Sicherheitsereignisprotokolle für Kategoriefilter
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| where AdditionalExtensions has_cs "InfobloxRPZ=CAT_"
Zurückgeben aller Sicherheitsereignisprotokolle für Anwendungsfilter
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| where AdditionalExtensions has_cs "InfobloxRPZ=APP_"
Zurückgeben der Trefferanzahl für die 10 wichtigsten TD-Domänen
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| summarize count() by DestinationDnsDomain
| top 10 by count_ desc
Zurückgeben der Trefferanzahl für die 10 wichtigsten TD-Quell-IP-Adressen
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| summarize count() by SourceIP
| top 10 by count_ desc
Zurückgeben von kürzlich erstellten DHCP-Leases
CommonSecurityLog
| where DeviceEventClassID == "DHCP-LEASE-CREATE"
Installationsanweisungen des Anbieters
WICHTIG: Dieser Microsoft Sentinel-Datenconnector setzt voraus, dass ein Infoblox Data Connector-Host bereits im Infoblox Cloud Services-Portal (CSP) erstellt und konfiguriert wurde. Da es sich beim Infoblox Data Connector um ein Feature von Threat Defense handelt, ist der Zugriff auf ein entsprechendes Threat Defense-Abonnement erforderlich. Weitere Informationen und Lizenzierungsanforderungen finden Sie in diesem Schnellstarthandbuch.
- Konfiguration des Linux Syslog-Agents
Installieren und konfigurieren Sie den Linux-Agent, damit er Ihre Common Event Format (CEF)-Syslog-Nachrichten sammelt und an Microsoft Sentinel weiterleitet.
Beachten Sie, dass die Daten aus allen Regionen im ausgewählten Arbeitsbereich gespeichert werden
1.1 Linux-Computer auswählen oder erstellen
Wählen Sie einen Linux-Computer aus, oder erstellen Sie einen, den Microsoft Sentinel als Proxy zwischen Ihrer Sicherheitslösung und Microsoft Sentinel verwenden soll. Dieser Computer kann sich in Ihrer lokalen Umgebung, in Azure oder in anderen Clouds befinden.
1.2 CEF-Sammler auf dem Linux-Computer installieren
Installieren Sie den Microsoft Monitoring Agent auf Ihrem Linux-Computer, und konfigurieren Sie den Computer so, dass er am erforderlichen Port lauscht und Nachrichten an Ihren Microsoft Sentinel-Arbeitsbereich weiterleitet. Der CEF-Sammler sammelt CEF-Nachrichten an TCP-Port 514.
- Vergewissern Sie sich mithilfe des folgenden Befehls, dass Sie auf dem Computer über Python verfügen: python -version.
- Sie müssen über erhöhte Berechtigungen (sudo) auf dem Computer verfügen.
Führen Sie den folgenden Befehl aus, um den CEF-Collector zu installieren und anzuwenden:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Konfigurieren von Infoblox zum Senden von Syslog-Daten an den Infoblox Cloud Data Connector zur Weiterleitung an den Syslog-Agent
Führen Sie die folgenden Schritte aus, um Infoblox CDC so zu konfigurieren, dass Daten über den Linux Syslog-Agent an Microsoft Sentinel gesendet werden.
- Navigieren Sie zu Verwalten > Datenconnector.
- Klicken Sie oben auf die Registerkarte Zielkonfiguration.
- Klicken Sie auf Erstellen > Syslog.
- Name: Geben Sie dem neuen Ziel einen aussagekräftigen Namen, z. B Microsoft Sentinel-Ziel.
- Beschreibung: Geben Sie optional eine aussagekräftige Beschreibung ein.
- Status: Legen Sie den Status auf Aktiviert fest.
- Format: Legen Sie das Format auf CEF fest.
- FQDN/IP: Geben Sie die IP-Adresse des Linux-Geräts ein, auf dem der Linux-Agent installiert ist.
- Port: Behalten Sie die Portnummer 514 bei.
- Protokoll: Wählen Sie das gewünschte Protokoll und, falls zutreffend, das Zertifizierungsstellenzertifikat aus.
- Klicken Sie auf Speichern und schließen.
- Klicken Sie oben auf die Registerkarte Datenverkehrsflusskonfiguration.
- Klicke auf Erstellen.
- Name: Geben Sie dem neuen Datenverkehrsfluss einen aussagekräftigen Namen, z. B . Microsoft Sentinel-Flow.
- Beschreibung: Geben Sie optional eine aussagekräftige Beschreibung ein.
- Status: Legen Sie den Status auf Aktiviert fest.
- Erweitern Sie den Abschnitt Dienstinstanz.
- Dienstinstanz: Wählen Sie Ihre gewünschte Dienstinstanz aus, für die der Data Connector-Dienst aktiviert ist.
- Erweitern Sie den Abschnitt Quellkonfiguration.
- Quelle: Wählen Sie BloxOne Cloud Source aus.
- Wählen Sie alle gewünschten Protokolltypen aus, die Sie sammeln möchten. Zurzeit werden folgende Protokolltypen unterstützt:
- Threat Defense-Abfrage/Antwortprotokoll
- Threat Defense-Threat-Feeds-Treffer-Protokoll
- DDI-Abfrage/Antwortprotokoll
- DDI-DHCP-Leaseprotokoll
- Erweitern Sie den Abschnitt Zielkonfiguration.
- Wählen Sie das soeben erstellte Ziel aus.
- Klicken Sie auf Speichern und schließen.
Lassen Sie der Konfiguration einige Zeit zur Aktivierung.
Überprüfen der Verbindung
Folgen Sie den Anleitungen zum Überprüfen Ihrer Konnektivität:
Öffnen Sie Log Analytics, um mithilfe des CommonSecurityLog-Schemas zu überprüfen, ob die Protokolle empfangen werden.
Es kann ungefähr 20 Minuten dauern, bis die Verbindung Daten in Ihren Arbeitsbereich streamt.
Wenn die Protokolle nicht empfangen werden, führen Sie das folgende Skript für Konnektivitätsprüfung aus:
- Vergewissern Sie sich mithilfe des folgenden Befehls, dass Sie auf Ihrem Computer über Python verfügen: python -version.
- Sie müssen auf Ihrem Computer über erhöhte Berechtigungen (sudo) verfügen
Führen Sie den folgenden Befehl aus, um Ihre Konnektivität zu überprüfen:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Sichern Ihres Computers
Stellen Sie sicher, dass Sie die Sicherheit des Computers gemäß der Sicherheitsrichtlinie Ihrer Organisation konfigurieren.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.