[Recomendado] Conector de datos de Infoblox SOC Insight a través del conector AMA para Microsoft Sentinel
Infoblox SOC Insight Data Connector permite conectar fácilmente los datos de Infoblox BloxOne SOC Insight con Microsoft Sentinel. Al conectar los registros a Microsoft Sentinel, puede aprovechar las ventajas de búsqueda y correlación, alertas y enriquecimiento de la inteligencia sobre amenazas para cada registro.
Este conector de datos ingiere registros CDC de Infoblox SOC Insight en el área de trabajo de Log Analytics mediante el nuevo agente de Azure Monitor. Obtenga más información sobre la ingesta mediante el nuevo agente de Azure Monitor aquí. Microsoft recomienda usar este conector de datos.
Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.
Atributos del conector
Atributo del conector | Descripción |
---|---|
Tabla de Log Analytics | CommonSecurityLog (InfobloxCDC_SOCInsights) |
Compatibilidad con reglas de recopilación de datos | DCR de transformación del área de trabajo |
Compatible con | InfoBlox |
Ejemplos de consultas
Devolver todos los registros que implican la tunelización DNS
InfobloxCDC_SOCInsights
| where ThreatType == "DNS Tunneling"
Devolver todos los registros que implican un problema de configuración
InfobloxCDC_SOCInsights
| where ThreatClass == "TI-CONFIGURATIONISSUE"
Devolver todos los registros de alto nivel de amenaza
InfobloxCDC_SOCInsights
| where ThreatLevel == "High"
Devolver registros de estado generados
InfobloxCDC_SOCInsights
| where Status == "RAISED"
Devolver registros que implican una gran cantidad de aciertos DNS desbloqueados
InfobloxCDC_SOCInsights
| where NotBlockedCount >= 100
Devolver cada información de ThreatFamily
InfobloxCDC_SOCInsights
| summarize dcount(InfobloxInsightID) by ThreatFamily
Requisitos previos
Para integrar con [Recomendado] Infoblox SOC Insight Data Connector a través de AMA, asegúrese de que tiene:
- ****: para recopilar datos de máquinas virtuales que no son de Azure, deben tener Azure Arc instalado y habilitado. Más información
- ****: Se debe instalar el formato de evento común (CEF) a través de AMA y Syslog a través de conectores de datos AMA. Más información
Instrucciones de instalación del proveedor
Claves del área de trabajo
Para usar los cuadernos de estrategias como parte de esta solución, busque el Id. del área de trabajo y Clave principal del área de trabajo siguiente para su comodidad.
Clave del área de trabajo
Analizadores
Este conector de datos depende de un analizador basado en una función de Kusto que funcione según lo previsto denominado InfobloxCDC_SOCInsights que se implementa con la solución Microsoft Sentinel.
Información de SOC
Este conector de datos supone que tiene acceso a Infoblox BloxOne Threat Defense SOC Insights. Puede encontrar más información sobre SOC Insights aquí.
Infoblox Cloud Data Connector
Este conector de datos supone que ya se ha creado y configurado un host del conector de datos de Infoblox en el Portal de Infoblox Cloud Services (CSP). Como el conector de datos de Infoblox es una característica de BloxOne Threat Defense, se requiere acceso a una suscripción adecuada a esta. Consulte esta guía de inicio rápido para obtener más información y requisitos de licencia.
- Proteja la máquina
Asegúrese de configurar la seguridad de la máquina de acuerdo con la directiva de seguridad de su organización.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.