次の方法で共有

Microsoft Sentinel 用 Infoblox Data Connector via REST API (Azure Functions を使用) コネクタ

  • [アーティクル]

Infoblox Data Connector を使用すると、Infoblox TIDE データと Dossier データを Microsoft Sentinel に簡単に接続できます。 データを Microsoft Sentinel に接続すると、各ログの検索と相関関係、アラート、脅威インテリジェンス エンリッチメントを利用できます。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル Failed_Range_To_Ingest_CL
Infoblox_Failed_Indicators_CL
dossier_whois_CL
dossier_tld_risk_CL
dossier_threat_actor_CL
dossier_rpz_feeds_records_CL
dossier_rpz_feeds_CL
dossier_nameserver_matches_CL
dossier_nameserver_CL
dossier_malware_analysis_v3_CL
dossier_inforank_CL
dossier_infoblox_web_cat_CL
dossier_geo_CL
dossier_dns_CL
dossier_atp_threat_CL
dossier_atp_CL
dossier_ptr_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの InfoBlox

クエリのサンプル

失敗インジケーター時間の範囲受信

Failed_Range_To_Ingest_CL

| sort by TimeGenerated desc

失敗インジケーター時間の範囲

Infoblox_Failed_Indicators_CL

| sort by TimeGenerated desc

Dossier whois データ ソース

dossier_whois_CL

| sort by TimeGenerated desc

Dossier TLD リスク データ ソース

dossier_tld_risk_CL

| sort by TimeGenerated desc

Dossier 脅威アクター データ ソース

dossier_threat_actor_CL

| sort by TimeGenerated desc

Dossier RPZ フィード レコード データ ソース

dossier_rpz_feeds_records_CL

| sort by TimeGenerated desc

Dossier RPZ フィード データ ソース

dossier_rpz_feeds_CL

| sort by TimeGenerated desc

Dossier ネームサーバー一致データ ソース

dossier_nameserver_matches_CL

| sort by TimeGenerated desc

Dossier ネームサーバー データ ソース

dossier_nameserver_CL

| sort by TimeGenerated desc

Dossier マルウェア分析 v3 データ ソース

dossier_malware_analysis_v3_CL

| sort by TimeGenerated desc

Dossier Inforank データ ソース

dossier_inforank_CL

| sort by TimeGenerated desc

Dossier Infoblox Web CAT データ ソース

dossier_infoblox_web_cat_CL

| sort by TimeGenerated desc

Dossier geo データ ソース

dossier_geo_CL

| sort by TimeGenerated desc

Dossier DNS データ ソース

dossier_dns_CL

| sort by TimeGenerated desc

Dossier ATP 脅威データ ソース

dossier_atp_threat_CL

| sort by TimeGenerated desc

Dossier ATP データ ソース

dossier_atp_CL

| sort by TimeGenerated desc

Dossier PTR データ ソース

dossier_ptr_CL

| sort by TimeGenerated desc

前提条件

Infoblox Data Connector via REST API (Azure Functions を使用) と統合するには、次のものがあることを確認します。

  • Azure サブスクリプション: Microsoft Entra ID でアプリケーションを登録し、リソース グループ内のアプリに共同作成者のロールを割り当てるには、所有者ロールを持つ Azure サブスクリプションが必要です。
  • Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください
  • REST API の資格情報/アクセス許可: Infobox API キーが必要です。 API について詳しくは、Rest API リファレンス ドキュメントをご覧ください。

ベンダーのインストール手順

Note

このコネクタでは、Azure Functions を使用して Infoblox API に接続し、TIDE の脅威インジケーターを作成して、Dossier データを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。

(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います

ステップ 1 - Microsoft Entra ID でのアプリケーションのアプリ登録手順

この統合には、Azure portal でのアプリの登録が必要です。 このセクションの手順に従って、Microsoft Entra ID で新しいアプリケーションを作成します。

  1. Azure portal にサインインします。
  2. Microsoft Entra ID を検索して選択します。
  3. [管理] で、[アプリの登録] > [新規登録] を選びます。
  4. アプリケーションの表示を入力します。
  5. [登録] を選択して、初期のアプリ登録を完了します。
  6. 登録が完了すると、Azure portal に、アプリの登録の [概要] ペインが表示されます。 [アプリケーション (クライアント) ID][テナント ID] があります。 TriggersSync プレイブックを実行するための構成パラメーターとして、クライアント ID とテナント ID が必要です。

参照リンク: /azure/active-directory/develop/quickstart-register-app

ステップ 2 - Microsoft Entra ID でアプリケーションのクライアント シークレットを追加する

アプリケーション パスワードと呼ばれることもあるクライアント シークレットは、TriggersSync プレイブックの実行に必要な文字列値です。 このセクションの手順に従って、新しいクライアント シークレットを作成します。

  1. Azure portal の [アプリの登録] で、対象のアプリケーションを選択します。
  2. [証明書 & シークレット]>[クライアント シークレット]>[新しいクライアント シークレット] を選択します。
  3. クライアント シークレットの説明を追加します。
  4. シークレットの有効期限を選択するか、カスタムの有効期間を指定します。 制限は 24 か月です。
  5. [追加] を選択します。
  6. クライアント アプリケーションのコードで使用できるように、"シークレットの値を記録します"。 このページからの移動後は、このシークレットの値は "二度と表示されません"。 シークレット値は、TriggersSync プレイブックを実行するための構成パラメーターとして必要です。

参照リンク: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ステップ 3 - Microsoft Entra ID でアプリケーションに共同作成者のロールを割り当てる

このセクションの手順に従って、ロールを割り当てます。

  1. Azure portal で [リソース グループ] に移動し、自分のリソース グループを選択します。
  2. 左側のパネルから [アクセスの制御 (IAM)] に移動します。
  3. [+ 追加] をクリックし、[ロールの割り当ての追加] を選択します
  4. ロールとして [共同作成者] を選択し、[次へ] をクリックします。
  5. [アクセスの割り当て先] で [User, group, or service principal] を選択します。
  6. [メンバーの追加] をクリックし、作成したアプリ名を入力して選択します。
  7. [確認と割り当て] をクリックし、もう一度 [確認と割り当て] をクリックします。

参照リンク: /azure/role-based-access-control/role-assignments-portal

ステップ 4 - Infoblox API 資格情報を生成する手順

この手順に従って、Infobox API キーを生成します。 Infoblox Cloud Services Portal で、API キーを生成し、次の手順で使用するために安全な場所にコピーします。 API キーを作成する手順は、こちらでご覧いただけます。

ステップ 5 - コネクタおよび関連付けられている Azure 関数をデプロイする手順

重要: Infobox データ コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (以下からコピー可)、および Infobox API の認可資格情報をすぐに使用できるようにしておいてください

Azure Resource Manager (ARM) テンプレート

Infoblox Data Connector の自動デプロイには、この方法を使用します。

  1. 下の [Azure へのデプロイ] ボタンをクリックします。

    Azure へのデプロイ

  2. お使いの [サブスクリプション][リソース グループ][場所] を選択します。

  3. 次の情報を入力します: Azure テナント ID、Azure クライアント ID、Azure クライアント シークレット、Infoblox API トークン、Infoblox ベース URL、ワークスペース ID、ワークスペース キー、ログ レベル (既定値: INFO)、信頼度、脅威レベル、App Insights、ワークスペース リソース ID

  4. [上記の使用条件に同意する] というラベルのチェックボックスをオンにします。

  5. [購入] をクリックしてデプロイします。

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。