Compartir a través de

Conector Infoblox Data Connector a través de la API de REST (mediante Azure Functions) para Microsoft Sentinel

  • Artículo

El conector Infoblox Data Connector le permite conectar fácilmente los datos de Infoblox TIDE y Dossier con Microsoft Sentinel. Al conectar los datos a Microsoft Sentinel, puede aprovechar las ventajas de búsqueda y correlación, alertas y enriquecimiento de la inteligencia sobre amenazas para cada registro.

Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector Descripción
Tabla de Log Analytics Failed_Range_To_Ingest_CL
Infoblox_Failed_Indicators_CL
dossier_whois_CL
dossier_tld_risk_CL
dossier_threat_actor_CL
dossier_rpz_feeds_records_CL
dossier_rpz_feeds_CL
dossier_nameserver_matches_CL
dossier_nameserver_CL
dossier_malware_analysis_v3_CL
dossier_inforank_CL
dossier_infoblox_web_cat_CL
dossier_geo_CL
dossier_dns_CL
dossier_atp_threat_CL
dossier_atp_CL
dossier_ptr_CL
Compatibilidad con reglas de recopilación de datos No se admite actualmente.
Compatible con InfoBlox

Ejemplos de consultas

Intervalo de tiempo de indicador con error recibido

Failed_Range_To_Ingest_CL

| sort by TimeGenerated desc

Datos de intervalo de indicadores erróneos

Infoblox_Failed_Indicators_CL

| sort by TimeGenerated desc

Origen de datos whois de Dossier

dossier_whois_CL

| sort by TimeGenerated desc

Origen de datos de riesgo de dominio de primer nivel de Dossier

dossier_tld_risk_CL

| sort by TimeGenerated desc

Origen de datos del actor de amenazas de Dossier

dossier_threat_actor_CL

| sort by TimeGenerated desc

Origen de datos de registros de fuentes RPZ del Dossier

dossier_rpz_feeds_records_CL

| sort by TimeGenerated desc

Origen de datos de fuentes RPZ del Dossier

dossier_rpz_feeds_CL

| sort by TimeGenerated desc

Origen de datos de coincidencias de nombres de servidor del Dossier

dossier_nameserver_matches_CL

| sort by TimeGenerated desc

Origen de datos del servidor de nombres de Dossier

dossier_nameserver_CL

| sort by TimeGenerated desc

Origen de datos de análisis de malware de Dossier v3

dossier_malware_analysis_v3_CL

| sort by TimeGenerated desc

Origen de datos de inforank de Dossier

dossier_inforank_CL

| sort by TimeGenerated desc

Origen de datos de web cat de Infoblox de Dossier

dossier_infoblox_web_cat_CL

| sort by TimeGenerated desc

Origen de datos geográficos de Dossier

dossier_geo_CL

| sort by TimeGenerated desc

Origen de datos DNS de Dossier

dossier_dns_CL

| sort by TimeGenerated desc

Origen de datos de amenazas de ATP de Dossier

dossier_atp_threat_CL

| sort by TimeGenerated desc

Origen de datos de ATP de Dossier

dossier_atp_CL

| sort by TimeGenerated desc

Origen de datos de PTR de Dossier

dossier_ptr_CL

| sort by TimeGenerated desc

Requisitos previos

Para realizar la integración con Infoblox Data Connector a través de la API de REST (mediante Azure Functions), asegúrese de que tiene:

  • suscripción de Azure: Se requiere la suscripción de Azure con el rol de propietario para registrar una aplicación en Microsoft Entra ID y asignar el rol de colaborador a la aplicación en el grupo de recursos.
  • Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para más información sobre Azure Functions.
  • Credenciales y permisos de la API de REST: se necesita la clave de API de Infoblox. Consulte la documentación para obtener más información sobre la API en referencia de la API de Rest

Instrucciones de instalación del proveedor

Nota:

Este conector usa Azure Functions para conectarse a la API Infoblox para crear indicadores de amenazas para TIDE y extraer datos de Dossier en Microsoft Sentinel. Esto podría generar costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de manera segura las claves o tokens de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.

PASO 1: Pasos de registro de aplicaciones para la aplicación en Microsoft Entra ID

Esta integración requiere un registro de aplicaciones en Azure Portal. Siga los pasos de esta sección para crear una nueva aplicación en Microsoft Entra ID:

  1. Inicie sesión en Azure Portal.
  2. Busque y seleccione Microsoft Entra ID.
  3. En Administrar, seleccione Registros de aplicaciones > Nuevo registro.
  4. Escriba un Nombre de usuario para la aplicación.
  5. Seleccione Registrar para completar el registro inicial de la aplicación.
  6. Cuando finaliza el registro, en Azure Portal se muestra el panel Información general del registro de la aplicación. Verá el id. de aplicación (cliente) y id. de inquilino. El Id. de cliente y el Id. de inquilino son necesarios como parámetros de configuración para la ejecución del cuaderno de estrategias de TriggersSync.

Vínculo de referencia: /azure/active-directory/develop/quickstart-register-app

PASO 2: Agregar un secreto de cliente para la aplicación en Microsoft Entra ID

A veces denominado contraseña de aplicación, un secreto de cliente es un valor de cadena necesario para la ejecución del cuaderno de estrategias de TriggersSync. Siga los pasos de esta sección para crear un nuevo secreto de cliente:

  1. En Azure Portal, seleccione la aplicación en Registros de aplicaciones.
  2. Seleccione Certificados y secretos > Secretos de cliente > Nuevo secreto de cliente.
  3. Agregue una descripción para el secreto de cliente.
  4. Seleccione una expiración para el secreto o especifique una duración personalizada. El límite es de 24 meses.
  5. Seleccione Agregar.
  6. Registre el valor del secreto para su uso en el código de la aplicación cliente. Este valor secreto no se volverá a mostrar una vez que abandone esta página. El valor del secreto es necesario como parámetro de configuración para la ejecución del cuaderno de estrategias de TriggersSync.

Vínculo de referencia: azure/active-directory/develop/quickstart-register-app#add-a-client-secret

PASO 3: Asignación de un rol de colaborador a la aplicación en Microsoft Entra ID

Siga los pasos de esta sección para asignar el rol:

  1. En Azure Portal, vaya a Grupo de recursos y seleccione el grupo de recursos.
  2. Vaya a Control de acceso (IAM) desde el panel izquierdo.
  3. Haga clic en Agregar, y a continuación seleccione Agregar asignación de roles.
  4. Seleccione Colaborador como rol y haga clic en siguiente.
  5. En Asignar acceso a, seleccione User, group, or service principal.
  6. Haga clic en agregar miembros y escriba el nombre de la aplicación que ha creado y selecciónelo.
  7. Ahora haga clic en Revisar y asignar y, a continuación, haga clic de nuevo en Revisar y asignar.

Vínculo de referencia: /azure/role-based-access-control/role-assignments-portal

PASO 4: Pasos para generar las credenciales de la API Infoblox

Siga estas instrucciones para generar la clave de API de Infoblox. En el portal de Infoblox Cloud Services, genere una clave de API y cópiela en algún lugar seguro para usarla en el paso siguiente. Puede encontrar instrucciones sobre cómo crear claves de API aquí.

PASO 5: Pasos para implementar el conector y la función de Azure asociada

IMPORTANTE: Antes de implementar el conector de datos de Infoblox, tenga a mano el id. y la clave principal del área de trabajo (pueden copiarse de lo siguiente), así como las credenciales de autorización de la API Infoblox

Plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos de Infoblox.

  1. Haga clic en el botón Implementar en Azure que aparece a continuación.

    Implementación en Azure

  2. Seleccione la suscripción, el grupo de recursos y la ubicación que prefiera.

  3. Escriba la siguiente información: id. de inquilino de Azure, id. de cliente de Azure, secreto de cliente de Azure, token de API de Infoblox, URL base de Infoblox, id. de área de trabajo, clave de área de trabajo, nivel de registro (valor predeterminado: INFO), nivel de confianza de amenaza, id. de recurso del área de trabajo de App Insights

  4. Marque la casilla de verificación Acepto los términos y condiciones establecidos anteriormente.

  5. Haga clic en Comprar para implementar.

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.