Compartir a través de

[Recomendado] Conector de datos en la nube de Infoblox mediante el conector AMA para Microsoft Sentinel

  • Artículo

El conector de datos en la nube de Infoblox le permite conectar fácilmente los datos de Infoblox con Microsoft Sentinel. Al conectar los registros a Microsoft Sentinel, puede aprovechar las ventajas de búsqueda y correlación, alertas y enriquecimiento de la inteligencia sobre amenazas para cada registro.

Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector Descripción
Tabla de Log Analytics CommonSecurityLog
Soporte de reglas de recopilación de datos DCR de transformación del área de trabajo
Compatible con InfoBlox

Ejemplos de consultas

Devolución de todos los registros de consultas o respuestas de DNS en bloque

CommonSecurityLog

| where DeviceEventClassID has_cs "RPZ"

Devolución de todos los registros de consultas o respuestas de DNS

CommonSecurityLog

| where DeviceEventClassID has_cs "DNS"

Devolución de todos los registros de consultas o respuestas de DHCP

CommonSecurityLog

| where DeviceEventClassID has_cs "DHCP"

Devolución de todos los registros de consultas o respuestas de registros de servicios

CommonSecurityLog

| where DeviceEventClassID has_cs "Service"

Devolución de todos los registros de consultas o respuestas de auditoría

CommonSecurityLog

| where DeviceEventClassID has_cs "Audit"

Devolución de todos los registros de eventos de seguridad de Filtros de categoría

CommonSecurityLog

| where DeviceEventClassID has_cs "RPZ"

| where AdditionalExtensions has_cs "InfobloxRPZ=CAT_"

Devolución de todos los registros de eventos de seguridad de Filtros de aplicación

CommonSecurityLog

| where DeviceEventClassID has_cs "RPZ"

| where AdditionalExtensions has_cs "InfobloxRPZ=APP_"

Devolución del número de llamadas de 10 dominios de TD principales

CommonSecurityLog

| where DeviceEventClassID has_cs "RPZ" 

| summarize count() by DestinationDnsDomain 

| top 10 by count_ desc

Devolución del número de llamadas de 10 direcciones IP de origen de TD principales

CommonSecurityLog

| where DeviceEventClassID has_cs "RPZ" 

| summarize count() by SourceIP 

| top 10 by count_ desc

Devolución de concesiones DHCP creadas recientemente

CommonSecurityLog

| where DeviceEventClassID == "DHCP-LEASE-CREATE"

Instrucciones de instalación del proveedor

IMPORTANTE: Este conector de datos de Microsoft Sentinel supone que ya se ha creado y configurado un host del Conector de datos de Infoblox en el Portal de servicio en la nube (CSP) de Infoblox. Como el conector de datos de Infoblox es una característica de Threat Defense, se requiere acceso a una suscripción adecuada a esta. Consulte esta guía de inicio rápido para obtener más información y requisitos de licencia.

  1. Configuración del agente de Syslog para Linux

Instale y configure el agente de Linux para recopilar los mensajes de Syslog del formato de evento común (CEF) y reenviarlos a Microsoft Sentinel.

Tenga en cuenta que los datos de todas las regiones se almacenarán en el área de trabajo seleccionada.

1.1. Selección o creación de una máquina Linux

Seleccione o cree una máquina Linux que Microsoft Sentinel usará como proxy entre la solución de seguridad y Microsoft Sentinel. Dicha máquina puede encontrarse en su entorno local, en Azure o en otras nubes.

1.2. Instalación del recopilador de CEF en la máquina Linux

Instale Microsoft Monitoring Agent en la máquina Linux y configure la máquina para que escuche en el puerto necesario y reenvíe los mensajes al área de trabajo de Microsoft Sentinel. El recopilador CEF recopila mensajes CEF en el puerto TCP 514.

  1. Asegúrese de tener Python en la máquina con el siguiente comando: python -version.
  1. Debe tener permisos elevados (sudo) en la máquina.

Ejecute el comando siguiente para instalar y aplicar el recopilador de CEF:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Configure Infoblox para enviar datos de Syslog al conector de datos en la nube de Infoblox para que los reenvíe al agente de Syslog

Siga los pasos siguientes para configurar el CDC de Infoblox para enviar datos a Microsoft Sentinel mediante el agente de Syslog de Linux.

  1. Vaya a Administrar > Conector de datos.
  2. Haga clic en la pestaña Configuración de destino en la parte superior.
  3. Haga clic en Crear > Syslog.
  • Nombre: asigne al destino nuevo un nombre descriptivo, como Microsoft-Sentinel-Destination.
  • Descripción: opcionalmente, asígnele una descripción significativa.
  • Estado: establezca el estado en habilitado.
  • Formato: establezca el formato en CEF.
  • FQDN/IP: escriba la dirección IP del dispositivo Linux en el que está instalado el agente de Linux.
  • Puerto: deje el número de puerto en 514.
  • Protocolo: seleccione el protocolo deseado y el Certificado de entidad de certificación si procede.
  • Haga clic en Guardar y cerrar.
  1. Haga clic en la pestaña Traffic Flow Configuration (Configuración del flujo de tráfico) de la parte superior.
  2. Haga clic en Crear.
  • Nombre: asigne al Flujo de tráfico nuevo un nombre descriptivo, como Microsoft-Sentinel-Flow.
  • Descripción: opcionalmente, asígnele una descripción significativa.
  • Estado: establezca el estado en habilitado.
  • Expanda la sección Instancia de servicio.
    • Instancia de servicio: seleccione la instancia de servicio deseada para la que está habilitado el servicio Conector de datos.
  • Expanda la sección Source Configuration (Configuración de origen).
    • Origen: seleccione BloxOne Cloud Source (Origen de nube de BloxOne).
    • Seleccione todos los tipos de registro deseados que quiera recopilar. Los tipos de registro admitidos actualmente son los siguientes:
      • Registro de consultas y respuestas de Threat Defense
      • Registro de aciertos de fuentes de amenazas de Threat Defense
      • Registro de consultas y respuestas de DDI
      • Registro de concesión de DHCP de DDI
  • Expanda la sección Configuración de destino.
    • Seleccione el Destino que acaba de crear.
  • Haga clic en Guardar y cerrar.

  1. Espere un poco a que la configuración se active.

  2. Validación de la conexión

Siga las instrucciones para validar la conectividad:

Abra Log Analytics para comprobar si los registros se reciben con el esquema CommonSecurityLog.

La conexión tarda unos 20 minutos en empezar a transmitir datos al área de trabajo.

Si no se reciben los registros, ejecute el siguiente script de validación de conectividad:

  1. Asegúrese de tener Python en la máquina con el siguiente comando: python -version
  1. Debe tener permisos elevados (sudo) en la máquina.

Ejecute el comando siguiente para validar la conectividad:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Proteja la máquina

Asegúrese de configurar la seguridad de la máquina de acuerdo con la directiva de seguridad de su organización.

Más información>

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.