[Scelta consigliata] Infoblox SOC Insight Data Connector tramite il connettore AMA per Microsoft Sentinel
Infoblox SOC Insight Data Connector consente di connettere facilmente i dati di Infoblox BloxOne SOC Insight con Microsoft Sentinel. Connettendo i log a Microsoft Sentinel, è possibile sfruttare i vantaggi di ricerca e correlazione, avvisi e arricchimento delle informazioni sulle minacce per ogni log.
Questo connettore dati inserisce i log di Infoblox SOC Insight CDC nell'area di lavoro Log Analytics usando il nuovo agente di Monitoraggio di Azure. Altre informazioni sull'inserimento con il nuovo agente di Monitoraggio di Azure sono disponibili qui. Microsoft consiglia di usare questo connettore dati.
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
| Attributo connettore | Descrizione |
|---|---|
| Tabelle Log Analytics | CommonSecurityLog (InfobloxCDC_SOCInsights) |
| Supporto regole di raccolta dati | Trasformazione area di lavoro DCR |
| Supportata da: | Infoblox |
Esempi di query
Restituire tutti i log che coinvolgono il tunneling DNS
InfobloxCDC_SOCInsights
| where ThreatType == "DNS Tunneling"
Restituire tutti i log che coinvolgono un problema di configurazione
InfobloxCDC_SOCInsights
| where ThreatClass == "TI-CONFIGURATIONISSUE"
Restituire tutti i log di livello elevato delle minacce
InfobloxCDC_SOCInsights
| where ThreatLevel == "High"
Restituire i log di stato generati
InfobloxCDC_SOCInsights
| where Status == "RAISED"
Restituzione di log che coinvolgono una quantità elevata di riscontri DNS sbloccati
InfobloxCDC_SOCInsights
| where NotBlockedCount >= 100
Restituire ogni insight by ThreatFamily
InfobloxCDC_SOCInsights
| summarize dcount(InfobloxInsightID) by ThreatFamily
Prerequisiti
Per eseguire l'integrazione con [Consigliato] Infoblox SOC Insight Data Connector tramite AMA, assicurarsi di disporre di:
- : per raccogliere dati da macchine virtuali non di Azure, è necessario che Azure Arc sia installato e abilitato. Ulteriori informazioni
- : è necessario installare Common Event Format (CEF) tramite AMA e Syslog tramite i connettori dati AMA. Ulteriori informazioni
Istruzioni per l’installazione di Vendor
Chiavi dell'area di lavoro
Per usare i playbook come parte di questa soluzione, trovare l'ID area di lavoro e la chiave primaria dell'area di lavoro di seguito per praticità.
Chiave dell'area di lavoro
Parser
Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto denominato InfobloxCDC_SOCInsights distribuito con la soluzione Microsoft Sentinel.
SOC Insights
Questo connettore dati presuppone che l'utente abbia accesso a Infoblox BloxOne Threat Defense SOC Insights. Altre informazioni su SOC Insights sono disponibili qui.
Infoblox Cloud Data Connector
Questo connettore dati presuppone che un host infoblox Data Connector sia già stato creato e configurato in Infoblox Servizi cloud Portal (CSP). Poiché Infoblox Data Connector è una funzionalità di BloxOne Threat Defense, è necessario accedere a una sottoscrizione BloxOne Threat Defense appropriata. Per altre informazioni e requisiti di licenza, vedere questa guida introduttiva.
- Proteggere il computer
Assicurarsi di configurare la sicurezza del computer in base ai criteri di sicurezza dell'organizzazione
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.