[Scelta consigliata] Infoblox Cloud Data Connector tramite il connettore AMA per Microsoft Sentinel
Infoblox Cloud Data Connector consente di connettere facilmente i dati di Infoblox con Microsoft Sentinel. Connettendo i log a Microsoft Sentinel, è possibile sfruttare i vantaggi di ricerca e correlazione, avvisi e arricchimento delle informazioni sulle minacce per ogni log.
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
| Attributo connettore | Descrizione |
|---|---|
| Tabelle Log Analytics | CommonSecurityLog |
| Supporto regole di raccolta dati | Trasformazione area di lavoro DCR |
| Supportata da: | Infoblox |
Esempi di query
Restituisce tutti i log di query/risposta DNS bloccati
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
Restituisce tutti i log di query/risposta DNS
CommonSecurityLog
| where DeviceEventClassID has_cs "DNS"
Restituisce tutti i log di query/risposta DHCP
CommonSecurityLog
| where DeviceEventClassID has_cs "DHCP"
Restituisce tutti i log di servizio query/risposte
CommonSecurityLog
| where DeviceEventClassID has_cs "Service"
Restituisce tutti i log di query di controllo/risposta
CommonSecurityLog
| where DeviceEventClassID has_cs "Audit"
Restituisce tutti i log degli eventi di sicurezza dei filtri di categoria
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| where AdditionalExtensions has_cs "InfobloxRPZ=CAT_"
Restituisce tutti i log degli eventi di sicurezza dei filtri applicazione
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| where AdditionalExtensions has_cs "InfobloxRPZ=APP_"
Restituisce i primi 10 domini TD hit count
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| summarize count() by DestinationDnsDomain
| top 10 by count_ desc
Restituisce i primi 10 INDIRIZZI IP di origine TD
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| summarize count() by SourceIP
| top 10 by count_ desc
Restituisce lease DHCP creati di recente
CommonSecurityLog
| where DeviceEventClassID == "DHCP-LEASE-CREATE"
Istruzioni per l’installazione di Vendor
IMPORTANTE: questo connettore dati di Microsoft Sentinel presuppone che un host di Infoblox Data Connector sia già stato creato e configurato in Infoblox Servizi cloud Portal (CSP). Poiché Infoblox Data Connector è una funzionalità di Threat Defense, è necessario l'accesso a una sottoscrizione appropriata di Threat Defense. Per altre informazioni e requisiti di licenza, vedere questa guida introduttiva.
- Configurazione dell'agente di Syslog per Linux
Installare e configurare l'agente Linux per raccogliere i messaggi Syslog di Common Event Format (CEF) e inoltrarli a Microsoft Sentinel.
Si noti che i dati da tutte le aree verranno archiviati nell'area di lavoro selezionata
1.1 Selezionare o creare una macchina virtuale Linux
Selezionare o creare una macchina virtuale Linux che Microsoft Sentinel userà come proxy tra la soluzione di sicurezza e Microsoft Sentinel. La macchina virtuale può risiedere nell'ambiente locale, in Azure o in altri cloud.
1.2 Installare l'agente di raccolta CEF nel computer Linux
Installare Microsoft Monitoring Agent nel computer Linux, configurare il computer per l'ascolto sulla porta necessaria e inoltrare i messaggi all'area di lavoro di Microsoft Sentinel. L'agente di raccolta CEF raccoglie messaggi CEF sulla porta 514 TCP.
- Verificare che Python sia installato nel computer usando il comando seguente: python -version.
- È necessario disporre di autorizzazioni elevate (sudo) nel computer.
Eseguire il comando seguente per installare e applicare l'agente di raccolta CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Configurare Infoblox per inviare dati Syslog a Infoblox Cloud Data Connector da inoltrare all'agente Syslog
Seguire questa procedura per configurare Infoblox CDC per inviare dati a Microsoft Sentinel tramite l'agente Syslog Linux.
- Passare a Gestisci > connettore dati.
- Fare clic sulla scheda Configurazione destinazione nella parte superiore.
- Fare clic su Crea > Syslog.
- Nome: assegnare un nome significativo alla nuova destinazione, ad esempio Microsoft-Sentinel-Destination.
- Descrizione: facoltativamente assegnare una descrizione significativa.
- Stato: impostare lo stato su Abilitato.
- Formato: impostare il formato su CEF.
- FQDN/IP: immettere l'indirizzo IP del dispositivo Linux in cui è installato l'agente Linux.
- Porta: lasciare il numero di porta 514.
- Protocollo: selezionare il protocollo desiderato e il certificato della CA, se applicabile.
- Fare clic su Salva e chiudi.
- Fare clic sulla scheda Configurazione flusso di traffico nella parte superiore.
- Cliccare su Crea.
- Nome: assegnare al nuovo flusso di traffico un nome significativo, ad esempio Microsoft-Sentinel-Flow.
- Descrizione: facoltativamente assegnare una descrizione significativa.
- Stato: impostare lo stato su Abilitato.
- Espandere la sezione Istanza del servizio.
- Istanza del servizio: selezionare l'istanza del servizio desiderata per cui è abilitato il servizio Data Connector.
- Espandere la sezione Configurazione origine.
- Origine: selezionare BloxOne Cloud Source (Origine cloud BloxOne).
- Selezionare tutti i tipi di log desiderati da raccogliere. I tipi di log attualmente supportati sono:
- Query/log di risposta di Threat Defense
- I feed di minacce di Threat Defense colpisce il log
- Log query/risposta DDI
- DDI DHCP Lease Log
- Espandere la sezione Configurazione destinazione.
- Selezionare la destinazione appena creata.
- Fare clic su Salva e chiudi.
Consentire l'attivazione della configurazione.
Convalida connessione
Seguire le istruzioni per convalidare la connettività:
Aprire Log Analytics per verificare se i log vengono ricevuti usando lo schema CommonSecurityLog.
Lo streaming dei dati nell'area di lavoro da parte della connessione potrebbe richiedere circa 20 minuti.
Se i log non vengono ricevuti, eseguire lo script di convalida della connettività seguente:
- Verificare che Python sia installato nel computer usando il comando seguente: python -version
- È necessario disporre di autorizzazioni elevate (sudo) nel computer
Eseguire il comando seguente per convalidare la connettività:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Proteggere il computer
Assicurarsi di configurare la sicurezza del computer in base ai criteri di sicurezza dell'organizzazione
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.