次の方法で共有

[推奨] Microsoft Sentinel 用 AMA 経由の Infoblox Cloud Data Connector コネクタ

  • [アーティクル]

Infoblox Cloud Data Connector を使用すると、Infoblox データを Microsoft Sentinel に簡単に接続できます。 ログを Microsoft Sentinel に接続すると、各ログの検索と相関関係、アラート、脅威インテリジェンス エンリッチメントを利用できます。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル CommonSecurityLog
データ収集ルールのサポート ワークスペース変換 DCR
サポートしているもの InfoBlox

クエリのサンプル

すべての DNS クエリのブロック/応答ログを返す

CommonSecurityLog

| where DeviceEventClassID has_cs "RPZ"

すべての DNS クエリ/応答ログを返す

CommonSecurityLog

| where DeviceEventClassID has_cs "DNS"

すべての DHCP クエリ/応答ログを返す

CommonSecurityLog

| where DeviceEventClassID has_cs "DHCP"

すべてのサービス ログ クエリ/応答ログを返す

CommonSecurityLog

| where DeviceEventClassID has_cs "Service"

すべての監査クエリ/応答ログを返す

CommonSecurityLog

| where DeviceEventClassID has_cs "Audit"

カテゴリ フィルターのすべてのセキュリティ イベント ログを返す

CommonSecurityLog

| where DeviceEventClassID has_cs "RPZ"

| where AdditionalExtensions has_cs "InfobloxRPZ=CAT_"

アプリケーション フィルターのすべてのセキュリティ イベント ログを返す

CommonSecurityLog

| where DeviceEventClassID has_cs "RPZ"

| where AdditionalExtensions has_cs "InfobloxRPZ=APP_"

上位 10 個の TD ドメイン ヒット カウントを返す

CommonSecurityLog

| where DeviceEventClassID has_cs "RPZ" 

| summarize count() by DestinationDnsDomain 

| top 10 by count_ desc

上位 10 個の TD ソース IP ヒット カウントを返す

CommonSecurityLog

| where DeviceEventClassID has_cs "RPZ" 

| summarize count() by SourceIP 

| top 10 by count_ desc

最近作成された DHCP リースを返す

CommonSecurityLog

| where DeviceEventClassID == "DHCP-LEASE-CREATE"

ベンダーのインストール手順

重要: この Microsoft Sentinel データ コネクタは、Infoblox Data Connector ホストが Infoblox Cloud Services ポータル (CSP) で既に作成および構成されていることを前提としています。 Infoblox Data Connector は Threat Defense の機能であるため、適切な Threat Defense サブスクリプションへのアクセスが必要です。 詳細とライセンス要件については、こちらのクイック スタート ガイドを参照してください。

  1. Linux Syslog エージェントの構成

Linux エージェントをインストールし、Common Event Format (CEF) Syslog メッセージを収集して Microsoft Sentinel に転送するようにエージェントを構成します。

すべてのリージョンのデータが選択したワークスペースに格納されることに注目してください

1.1 Linux コンピューターを選択または作成する

Microsoft Sentinel によって、セキュリティ ソリューションと Microsoft Sentinel の間のプロキシとして使用される Linux コンピューターを選択または作成します。このコンピューターは、オンプレミス環境、Azure またはその他のクラウド上に配置することができます。

1.2 Linux コンピューターに CEF コレクターをインストールする

Linux コンピューターに Microsoft Monitoring Agent をインストールし、必要なポートでリッスンして Microsoft Sentinel ワークスペースにメッセージを転送するようにコンピューターを構成します。 CEF コレクターにより、ポート 514 TCP で CEF メッセージが収集されます。

  1. コマンド python -version を使用して、コンピューターに Python がインストールされていることを確認します。
  1. マシンに対する管理者特権のアクセス許可 (sudo) が必要です。

次のコマンドを実行し、CEF コレクターをインストールして適用します。

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Syslog データを Infoblox Cloud Data Connector に送信して Syslog エージェントに転送するように Infoblox を構成する

次の手順に従って、Linux Syslog エージェントを介してデータを Microsoft Sentinel に送信するように Infoblox CDC を構成します。

  1. [管理] > [データ コネクタ] に移動します。
  2. 上部にある [宛先の構成] タブをクリックします。
  3. [作成] > [Syslog] をクリックします。
  • 名前: 新しい宛先に、Microsoft-Sentinel-Destination などのわかりやすい名前を付けます。
  • 説明: 必要に応じて、わかりやすい説明を指定します。
  • 状態: 状態を [Enabled] (有効) に設定します。
  • 形式: 形式を [CEF] に設定します。
  • FQDN/IP: Linux エージェントがインストールされている Linux デバイスの IP アドレスを入力します。
  • ポート: ポート番号は 514 のままにします。
  • プロトコル: 該当する場合は、必要なプロトコルと CA 証明書を選択します。
  • [保存して閉じる] をクリックします。
  1. 上部にある [Traffic Flow Configuration] (トラフィック フローの構成) タブをクリックします。
  2. Create をクリックしてください。
  • 名前: 新しいトラフィック フローに、Microsoft-Sentinel-Flow などのわかりやすい名前を付けます。
  • 説明: 必要に応じて、わかりやすい説明を指定します。
  • 状態: 状態を [Enabled] (有効) に設定します。
  • [サービス インスタンス] セクションを展開します。
    • サービス インスタンス: Data Connector サービスが有効になっている目的のサービス インスタンスを選択します。
  • [Source Configuration] (ソースの構成) セクションを展開します。
    • ソース: [BloxOne Cloud Source] (BloxOne クラウド ソース) を選択します。
    • 収集する目的のログの種類をすべて選択します。 現在サポートされているログの種類は次のとおりです。
      • 脅威防御クエリおよび応答ログ
      • 脅威防御の脅威フィード ヒット ログ
      • DDI クエリおよび応答ログ
      • DDI DHCP リース ログ
  • [Destination Configuration] (宛先の構成) セクションを展開します。
    • 先ほど作成した宛先を選択します。
  • [保存して閉じる] をクリックします。

  1. 構成がアクティブになるまでしばらくかかります。

  2. 接続の検証

手順に従って接続を検証します。

Log Analytics を開き、CommonSecurityLog スキーマを使用してログが受信されているかどうかを確認します。

接続によってデータがワークスペースにストリーミングされるまで約 20 分かかる場合があります。

ログが受信されない場合は、次の接続検証スクリプトを実行します。

  1. コマンド python -version を使用して、コンピューターに Python がインストールされていることを確認します
  1. コンピューターに対する管理者特権のアクセス許可 (sudo) が必要です

次のコマンドを実行して、接続を検証します。

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. コンピューターをセキュリティで保護する

必ず、組織のセキュリティ ポリシーに従ってコンピューターのセキュリティを構成してください

詳細情報 >

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。