Connector für [Empfohlen] Infoblox SOC Insight Data Connector über AMA für Microsoft Sentinel
Der Infoblox SOC Insight Data Connector ermöglicht es Ihnen, Ihre Infoblox BloxOne SOC Insight-Daten auf einfache Weise mit Microsoft Sentinel zu verbinden. Indem Sie Ihre Protokolle mit Microsoft Sentinel verbinden, können Sie Such- und Korrelationsfunktionen, Warnungen sowie die Threat Intelligence-Anreicherung für jedes Protokoll nutzen.
Dieser Datenconnector erfasst Infoblox SOC Insight CDC-Protokolle mit dem neuen Azure Monitor-Agent in Ihrem Log Analytics-Arbeitsbereich. Hier erfahren Sie mehr über die Erfassung mit dem neuen Azure Monitor Agent. Microsoft empfiehlt die Verwendung dieses Datenconnectors.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
Connectorattribut | BESCHREIBUNG |
---|---|
Log Analytics-Tabellen | CommonSecurityLog (InfobloxCDC_SOCInsights) |
Unterstützung für Datensammlungsregeln | Transformations-DCR des Arbeitsbereichs |
Unterstützt von | Infoblox |
Abfragebeispiele
Zurückgeben aller Protokolle im Zusammenhang mit DNS-Tunneling
InfobloxCDC_SOCInsights
| where ThreatType == "DNS Tunneling"
Zurückgeben aller Protokolle im Zusammenhang mit einem Konfigurationsproblem
InfobloxCDC_SOCInsights
| where ThreatClass == "TI-CONFIGURATIONISSUE"
Zurückgeben aller Protokolle mit hoher Bedrohungsstufe
InfobloxCDC_SOCInsights
| where ThreatLevel == "High"
Zurückgeben von Protokollen mit dem Status „Ausgelöst“
InfobloxCDC_SOCInsights
| where Status == "RAISED"
Zurückgeben von Protokollen mit einer hohen Anzahl von nicht blockierten DNS-Treffern
InfobloxCDC_SOCInsights
| where NotBlockedCount >= 100
Zurückgeben aller Erkenntnisse nach ThreatFamily
InfobloxCDC_SOCInsights
| summarize dcount(InfobloxInsightID) by ThreatFamily
Voraussetzungen
Für die Integration mit [Empfohlen] Infoblox SOC Insight Data Connector über AMA benötigen Sie Folgendes:
- ****: Damit Daten von Nicht-Azure-VMs gesammelt werden können, muss auf diesen Azure Arc installiert und aktiviert sein. Weitere Informationen
- ****: Common Event Format (CEF) über AMA und Syslog über AMA-Datenconnectors müssen installiert werden. Weitere Informationen
Installationsanweisungen des Anbieters
Arbeitsbereichsschlüssel
Um die Playbooks als Teil dieser Lösung verwenden zu können, werden die Arbeitsbereichs-ID und der Primärschlüssel des Arbeitsbereichs unten für Sie bereitgestellt.
Arbeitsbereichsschlüssel
Parser
Damit dieser Datenconnector wie erwartet funktioniert, ist er abhängig von einem Parser, der auf einer Kusto-Funktion namens InfobloxCDC_SOCInsights basiert, die mit der Microsoft Sentinel-Lösung bereitgestellt wird.
SOC Insights
Bei diesem Datenconnector wird davon ausgegangen, dass Sie Zugriff auf Infoblox BloxOne Threat Defense SOC Insights haben. Hier finden Sie weitere Informationen zu SOC Insights.
Infoblox-Clouddatenconnector
Dieser Datenconnector setzt voraus, dass bereits ein Infoblox Data Connector-Host im Infoblox Cloud Services Portal (CSP) erstellt und konfiguriert wurde. Da es sich beim Infoblox Data Connector um ein Feature von BloxOne Threat Defense handelt, ist der Zugriff auf ein entsprechendes BloxOne Threat Defense-Abonnement erforderlich. Weitere Informationen und Lizenzierungsanforderungen finden Sie in diesem Schnellstarthandbuch.
- Sichern Ihres Computers
Stellen Sie sicher, dass Sie die Sicherheit des Computers gemäß der Sicherheitsrichtlinie Ihrer Organisation konfigurieren.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.