次の方法で共有

Microsoft Sentinel 用 [推奨] Infoblox SOC Insight Data Connector via AMA

  • [アーティクル]

Infoblox SOC Insight Data Connector を使用すると、Infoblox BloxOne SOC Insight データを Microsoft Sentinel に簡単に接続できます。 ログを Microsoft Sentinel に接続すると、各ログの検索と相関関係、アラート、脅威インテリジェンス エンリッチメントを利用できます。

このデータ コネクタは、新しい Azure Monitor エージェントを使用して、Infoblox SOC Insight CDC ログを Log Analytics ワークスペースに取り込みます。 新しい Azure Monitor エージェントを使用した取り込みの詳細については、こちらをご覧ください。 Microsoft では、このデータ コネクタを使用することを推奨しています。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル CommonSecurityLog (InfobloxCDC_SOCInsights)
データ収集ルールのサポート ワークスペース変換 DCR
サポートしているもの InfoBlox

クエリのサンプル

DNS トンネリングに関連するすべてのログを返す

InfobloxCDC_SOCInsights

| where ThreatType == "DNS Tunneling"

構成の問題に関連するすべてのログを返す

InfobloxCDC_SOCInsights

| where ThreatClass == "TI-CONFIGURATIONISSUE"

脅威レベルの高いログをすべて返す

InfobloxCDC_SOCInsights

| where ThreatLevel == "High"

発生した状態ログを返す

InfobloxCDC_SOCInsights

| where Status == "RAISED"

ブロック解除された DNS ヒットの量が多いログを返す

InfobloxCDC_SOCInsights

| where NotBlockedCount >= 100

各 ThreatFamily それぞれの分析情報を返す

InfobloxCDC_SOCInsights

| summarize dcount(InfobloxInsightID) by ThreatFamily

前提条件

[推奨] Infoblox SOC Insight Data Connector via AMA と統合するには、次の情報が必要です。

  • ****: Azure 以外の VM からデータを収集するには、Azure Arc をインストールして有効にする必要があります。 詳細情報
  • ****: Common Event Format (CEF) via AMA と Syslog via AMA の各データ コネクタをインストールする必要があります。 詳細情報

ベンダーのインストール手順

ワークスペース キー

このソリューションの一部としてプレイブックを使用するには、以下のワークスペース IDワークスペースのプライマリ キーを参照してください。

ワークスペース キー

パーサー

このデータ コネクタは、Microsoft Sentinel ソリューションと一緒にデプロイされる InfobloxCDC_SOCInsights という Kusto 関数に基づくパーサーに依存して期待通りに動作します。

SOC Insights

このデータ コネクタは、Infoblox BloxOne Threat Defense SOC Insights にアクセスできることを前提としています。 SOC Insights の詳細については、こちらをご覧ください。

Infoblox Cloud Data Connector

このデータ コネクタは、Infoblox Data Connector ホストが Infoblox Cloud Services Portal (CSP) で既に作成および構成されていることを前提としています。 Infoblox Data Connector は BloxOne Threat Defenseフィーチャーであるため、適切な BloxOne Threat Defense サブスクリプションへのアクセスが必要です。 詳細とライセンス要件については、こちらのクイック スタート ガイドを参照してください。

  1. コンピューターをセキュリティで保護する

必ず、組織のセキュリティ ポリシーに従ってコンピューターのセキュリティを構成してください

詳細情報 >

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。