Microsoft Sentinel 用の Infoblox SOC Insight Data Connector via REST API コネクタ
Infoblox SOC Insight Data Connector を使用すると、Infoblox BloxOne SOC Insight データを Microsoft Sentinel に簡単に接続できます。 ログを Microsoft Sentinel に接続すると、各ログの検索と相関関係、アラート、脅威インテリジェンス エンリッチメントを利用できます。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | InfobloxInsight_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | InfoBlox |
クエリのサンプル
DNS トンネリングに関連するすべてのログを返す
InfobloxInsight_CL
| where threatType_s == "DNS Tunneling"
構成の問題に関連するすべてのログを返す
InfobloxInsight_CL
| where tClass_s == "TI-CONFIGURATIONISSUE"
重大優先度の分析情報の数を返す
InfobloxInsight_CL
| where priorityText_s == "CRITICAL"
| summarize dcount(insightId_g) by priorityText_s
ThreatClass ごとに各拡散分析情報を返す
InfobloxInsight_CL
| where isnotempty(spreadingDate_t)
| summarize dcount(insightId_g) by tClass_s
ThreatFamily ごとに各分析情報を返す
InfobloxInsight_CL
|
| summarize dcount(insightId_g) by tFamily_s
ベンダーのインストール手順
ワークスペース キー
このソリューションの一部としてプレイブックを使用するには、以下のワークスペース ID とワークスペースのプライマリ キーを参照してください。
ワークスペース キー
パーサー
このデータ コネクタは、Kusto 関数に基づくパーサー (Microsoft Sentinel ソリューションでデプロイされる InfobloxInsight) を利用して正常に動作します。
SOC Insights
このデータ コネクタは、Infoblox BloxOne Threat Defense SOC Insights にアクセスできることを前提としています。 SOC Insights の詳細については、こちらをご覧ください。
このデータ コネクタの構成は、次の手順に従って行います
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。