다음을 통해 공유

Microsoft Sentinel용 REST API(Azure Functions 사용) 커넥터를 통한 Infoblox 데이터 커넥터

  • 아티클

Infoblox 데이터 커넥터를 사용하면 Infoblox TIDE 데이터 및 Dossier 데이터를 Microsoft Sentinel에 쉽게 연결할 수 있습니다. Microsoft Sentinel에 데이터를 연결하면 각 로그에 대한 검색 및 상관 관계, 경고 및 위협 인텔리전스 보강을 활용할 수 있습니다.

자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.

커넥터 특성

커넥터 특성 설명
Log Analytics 테이블 Failed_Range_To_Ingest_CL
Infoblox_Failed_Indicators_CL
dossier_whois_CL
dossier_tld_risk_CL
dossier_threat_actor_CL
dossier_rpz_feeds_records_CL
dossier_rpz_feeds_CL
dossier_nameserver_matches_CL
dossier_nameserver_CL
dossier_malware_analysis_v3_CL
dossier_inforank_CL
dossier_infoblox_web_cat_CL
dossier_geo_CL
dossier_dns_CL
dossier_atp_threat_CL
dossier_atp_CL
dossier_ptr_CL
데이터 수집 규칙 지원 현재 지원되지 않음
지원 공급자 Infoblox

쿼리 샘플

수신된 실패한 표시기 시간 범위

Failed_Range_To_Ingest_CL

| sort by TimeGenerated desc

실패한 표시기 범위 데이터

Infoblox_Failed_Indicators_CL

| sort by TimeGenerated desc

Dossier whois 데이터 원본

dossier_whois_CL

| sort by TimeGenerated desc

Dossier tld 위험 데이터 원본

dossier_tld_risk_CL

| sort by TimeGenerated desc

Dossier 위협 행위자 데이터 원본

dossier_threat_actor_CL

| sort by TimeGenerated desc

Dossier rpz 피드 레코드 데이터 원본

dossier_rpz_feeds_records_CL

| sort by TimeGenerated desc

Dossier rpz 피드 데이터 원본

dossier_rpz_feeds_CL

| sort by TimeGenerated desc

Dossier 이름 서버가 데이터 원본과 일치

dossier_nameserver_matches_CL

| sort by TimeGenerated desc

Dossier 이름 서버 데이터 원본

dossier_nameserver_CL

| sort by TimeGenerated desc

Dossier 맬웨어 분석 v3 데이터 원본

dossier_malware_analysis_v3_CL

| sort by TimeGenerated desc

Dossier inforank 데이터 원본

dossier_inforank_CL

| sort by TimeGenerated desc

Dossier infoblox 웹 고양이 데이터 원본

dossier_infoblox_web_cat_CL

| sort by TimeGenerated desc

Dossier 지역 데이터 원본

dossier_geo_CL

| sort by TimeGenerated desc

Dossier dns 데이터 원본

dossier_dns_CL

| sort by TimeGenerated desc

Dossier atp 위협 데이터 원본

dossier_atp_threat_CL

| sort by TimeGenerated desc

Dossier atp 데이터 원본

dossier_atp_CL

| sort by TimeGenerated desc

Dossier ptr 데이터 원본

dossier_ptr_CL

| sort by TimeGenerated desc

필수 조건

REST API(Azure Functions 사용)를 통해 Infoblox Data Connector와 통합하려면 다음이 있는지 확인합니다.

  • Azure 구독: Microsoft Entra ID에 애플리케이션을 등록하고 리소스 그룹의 앱에 기여자 역할을 할당하려면 소유자 역할이 있는 Azure 구독이 필요합니다.
  • Microsoft.Web/sites 권한: 함수 앱을 만들려면 Azure Functions에 대한 읽기 및 쓰기 권한이 필요합니다. Azure Functions에 대해 자세히 알아보려면 설명서를 참조하세요.
  • REST API 자격 증명/권한: Infoblox API 키가 필요합니다. Rest API 참조에서 API에 대한 자세한 내용은 설명서를 참조하세요.

공급업체 설치 지침

참고 항목

이 커넥터는 Azure Functions를 사용하여 Infoblox API에 연결하여 TIDE용 위협 지표를 만들고 Dossier 데이터를 Microsoft Sentinel로 가져옵니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택 단계) Azure Key Vault에 작업 영역과 API 권한 부여 키 또는 토큰을 안전하게 저장합니다. Azure Key Vault는 키 값을 저장하고 검색하는 안전한 메커니즘을 제공합니다. 지침에 따라 Azure 함수 앱에서 Azure Key Vault를 사용합니다.

1단계 - Microsoft Entra ID의 애플리케이션에 대한 앱 등록 단계

이 통합을 위해서는 Azure Portal에서 앱 등록이 필요합니다. 이 섹션의 단계에 따라 Microsoft Entra ID에서 새 애플리케이션을 만듭니다.

  1. Azure Portal에 로그인합니다.
  2. Microsoft Entra ID를 검색하고 선택합니다.
  3. 관리 아래에서 앱 등록 > 새 등록을 선택합니다.
  4. 애플리케이션의 표시 이름을 입력합니다.
  5. 등록을 선택하여 초기 앱 등록을 완료합니다.
  6. 등록이 완료되면 Azure Portal에 앱 등록의 개요 창이 표시됩니다. 애플리케이션(클라이언트) ID디렉터리(테넌트) ID를 확인합니다. 클라이언트 ID 및 테넌트 ID는 TriggersSync 플레이북 실행을 위한 구성 매개 변수로 필요합니다.

참조 링크: /azure/active-directory/develop/quickstart-register-app

2단계 - Microsoft Entra ID의 애플리케이션에 대한 클라이언트 암호 추가

애플리케이션 암호라고도 하는 클라이언트 암호는 TriggersSync 플레이북을 실행하는 데 필요한 문자열 값입니다. 이 섹션의 단계에 따라 새 클라이언트 암호를 만듭니다.

  1. Azure Portal의 앱 등록에서 애플리케이션을 선택합니다.
  2. 인증서 및 비밀 > 클라이언트 암호 > 새 클라이언트 암호를 선택합니다.
  3. 클라이언트 비밀에 대한 설명을 추가합니다.
  4. 암호에 대해 만료를 선택하거나 사용자 지정 수명을 지정합니다. 제한은 24개월입니다.
  5. 추가를 선택합니다.
  6. 클라이언트 애플리케이션 코드에서 사용할 비밀 값을 기록합니다. 이 비밀 값은 이 페이지에서 나가면 다시 표시되지 않습니다. 비밀 값은 TriggersSync 플레이북의 실행을 위한 구성 매개 변수로 필요합니다.

참조 링크: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret

3단계 - Microsoft Entra ID의 애플리케이션에 기여자 역할 할당

이 섹션의 단계에 따라 역할을 할당합니다.

  1. Azure Portal에서 리소스 그룹으로 이동하여 리소스 그룹을 선택합니다.
  2. 왼쪽 패널에서 액세스 제어(IAM)로 이동합니다.
  3. 추가를 클릭한 다음, 역할 할당 추가를 선택합니다.
  4. 역할로 기여자를 선택하고 다음을 클릭합니다.
  5. 액세스 할당에서 User, group, or service principal를 선택합니다.
  6. 멤버 추가를 클릭하고 만든 앱 이름을 입력한 다음, 선택합니다.
  7. 이제 검토 + 할당을 클릭한 다음, 검토 + 할당을 다시 클릭합니다.

참조 링크: /azure/role-based-access-control/role-assignments-portal

4단계 - Infoblox API 자격 증명을 생성하는 단계

다음 지침에 따라 Infoblox API 키를 생성합니다. Infoblox Cloud Services 포털에서 API 키를 생성하고 다음 단계에서 사용하기에 안전한 위치에 복사합니다. 여기에서 API 키를 만드는 방법에 대한 지침을 찾을 수 있습니다.

5단계 - 커넥터 및 연결된 Azure Function을 배포하는 단계

중요: Infoblox 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)를 쉽게 사용할 수 있습니다... 및 Infoblox API 권한 부여 자격 증명

ARM(Azure Resource Manager) 템플릿

Infoblox Data 커넥터의 자동화된 배포에 이 메서드를 사용합니다.

  1. 아래에서 Azure에 배포 단추를 클릭합니다.

    Azure에 배포

  2. 선호하는 구독, 리소스 그룹위치를 선택합니다.

  3. 아래 정보를 입력합니다. Azure 테넌트 ID Azure 클라이언트 ID Azure 클라이언트 비밀 Infoblox API 토큰 Infoblox 기본 URL 작업 영역 ID 작업 영역 키 로그 수준(기본값: INFO) 신뢰도 위협 수준 App Insights 작업 영역 리소스 ID

  4. 위에 명시된 사용 약관에 동의합니다 확인란을 선택합니다.

  5. 구매를 클릭하여 배포합니다.

다음 단계

자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.