Freigeben über


Connector für [Empfohlen] Infoblox SOC Insight Data Connector über AMA für Microsoft Sentinel

Der Infoblox SOC Insight Data Connector ermöglicht es Ihnen, Ihre Infoblox BloxOne SOC Insight-Daten auf einfache Weise mit Microsoft Sentinel zu verbinden. Indem Sie Ihre Protokolle mit Microsoft Sentinel verbinden, können Sie Such- und Korrelationsfunktionen, Warnungen sowie die Threat Intelligence-Anreicherung für jedes Protokoll nutzen.

Dieser Datenconnector erfasst Infoblox SOC Insight CDC-Protokolle mit dem neuen Azure Monitor-Agent in Ihrem Log Analytics-Arbeitsbereich. Hier erfahren Sie mehr über die Erfassung mit dem neuen Azure Monitor Agent. Microsoft empfiehlt die Verwendung dieses Datenconnectors.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen CommonSecurityLog (InfobloxCDC_SOCInsights)
Unterstützung für Datensammlungsregeln Transformations-DCR des Arbeitsbereichs
Unterstützt von Infoblox

Abfragebeispiele

Zurückgeben aller Protokolle im Zusammenhang mit DNS-Tunneling

InfobloxCDC_SOCInsights

| where ThreatType == "DNS Tunneling"

Zurückgeben aller Protokolle im Zusammenhang mit einem Konfigurationsproblem

InfobloxCDC_SOCInsights

| where ThreatClass == "TI-CONFIGURATIONISSUE"

Zurückgeben aller Protokolle mit hoher Bedrohungsstufe

InfobloxCDC_SOCInsights

| where ThreatLevel == "High"

Zurückgeben von Protokollen mit dem Status „Ausgelöst“

InfobloxCDC_SOCInsights

| where Status == "RAISED"

Zurückgeben von Protokollen mit einer hohen Anzahl von nicht blockierten DNS-Treffern

InfobloxCDC_SOCInsights

| where NotBlockedCount >= 100

Zurückgeben aller Erkenntnisse nach ThreatFamily

InfobloxCDC_SOCInsights

| summarize dcount(InfobloxInsightID) by ThreatFamily

Voraussetzungen

Für die Integration mit [Empfohlen] Infoblox SOC Insight Data Connector über AMA benötigen Sie Folgendes:

  • ****: Damit Daten von Nicht-Azure-VMs gesammelt werden können, muss auf diesen Azure Arc installiert und aktiviert sein. Weitere Informationen
  • ****: Common Event Format (CEF) über AMA und Syslog über AMA-Datenconnectors müssen installiert werden. Weitere Informationen

Installationsanweisungen des Anbieters

Arbeitsbereichsschlüssel

Um die Playbooks als Teil dieser Lösung verwenden zu können, werden die Arbeitsbereichs-ID und der Primärschlüssel des Arbeitsbereichs unten für Sie bereitgestellt.

Arbeitsbereichsschlüssel

Parser

Damit dieser Datenconnector wie erwartet funktioniert, ist er abhängig von einem Parser, der auf einer Kusto-Funktion namens InfobloxCDC_SOCInsights basiert, die mit der Microsoft Sentinel-Lösung bereitgestellt wird.

SOC Insights

Bei diesem Datenconnector wird davon ausgegangen, dass Sie Zugriff auf Infoblox BloxOne Threat Defense SOC Insights haben. Hier finden Sie weitere Informationen zu SOC Insights.

Infoblox-Clouddatenconnector

Dieser Datenconnector setzt voraus, dass bereits ein Infoblox Data Connector-Host im Infoblox Cloud Services Portal (CSP) erstellt und konfiguriert wurde. Da es sich beim Infoblox Data Connector um ein Feature von BloxOne Threat Defense handelt, ist der Zugriff auf ein entsprechendes BloxOne Threat Defense-Abonnement erforderlich. Weitere Informationen und Lizenzierungsanforderungen finden Sie in diesem Schnellstarthandbuch.

  1. Sichern Ihres Computers

Stellen Sie sicher, dass Sie die Sicherheit des Computers gemäß der Sicherheitsrichtlinie Ihrer Organisation konfigurieren.

Weitere Informationen>

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.