[권장] Microsoft Sentinel용 AMA 커넥터를 통한 Infoblox Cloud Data Connector
Infoblox Cloud Data Connector를 사용하면 Infoblox 데이터를 Microsoft Sentinel에 쉽게 연결할 수 있습니다. 로그를 Microsoft Sentinel에 연결하면 각 로그에 대한 검색 및 상관 관계, 경고, 위협 인텔리전스 보강을 활용할 수 있습니다.
자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.
커넥터 특성
| 커넥터 특성 | 설명 |
|---|---|
| Log Analytics 테이블 | CommonSecurityLog |
| 데이터 수집 규칙 지원 | 작업 영역 변환 DCR |
| 다음에서 지원 | Infoblox |
쿼리 샘플
모든 블록 DNS 쿼리/응답 로그 반환
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
모든 DNS 쿼리/응답 로그 반환
CommonSecurityLog
| where DeviceEventClassID has_cs "DNS"
모든 DHCP 쿼리/응답 로그 반환
CommonSecurityLog
| where DeviceEventClassID has_cs "DHCP"
모든 서비스 로그 쿼리/응답 로그 반환
CommonSecurityLog
| where DeviceEventClassID has_cs "Service"
모든 감사 쿼리/응답 로그 반환
CommonSecurityLog
| where DeviceEventClassID has_cs "Audit"
모든 범주 필터 보안 이벤트 로그 반환
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| where AdditionalExtensions has_cs "InfobloxRPZ=CAT_"
모든 애플리케이션 필터 보안 이벤트 로그 반환
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| where AdditionalExtensions has_cs "InfobloxRPZ=APP_"
상위 10개 TD 도메인 적중 횟수 반환
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| summarize count() by DestinationDnsDomain
| top 10 by count_ desc
상위 10개 TD 원본 IP 적중 횟수 반환
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| summarize count() by SourceIP
| top 10 by count_ desc
최근에 만든 DHCP 임대 반환
CommonSecurityLog
| where DeviceEventClassID == "DHCP-LEASE-CREATE"
공급업체 설치 지침
중요: 이 Microsoft Sentinel 데이터 커넥터는 Infoblox Data Connector 호스트가 이미 CSP(Infoblox Cloud Services Portal)에서 만들어지고 구성되었다고 가정합니다. Infoblox 데이터 커넥터는 위협 방어의 기능이므로 적절한 위협 방어 구독에 액세스해야 합니다. 자세한 내용 및 라이선스 요구 사항은 이 빠른 시작 가이드를 참조하세요.
- Linux Syslog 에이전트 구성
CEF(Common Event Format) Syslog 메시지를 수집하여 Microsoft Sentinel에 전달하도록 Linux 에이전트를 설치 및 구성합니다.
모든 지역의 데이터가 선택한 작업 영역에 저장됩니다.
1.1 Linux 머신 선택 또는 만들기
Microsoft Sentinel이 보안 솔루션과 Microsoft Sentinel 간에 프록시로 사용할 Linux 컴퓨터를 선택하거나 만듭니다. 이 컴퓨터는 온-프레미스 환경, Azure 또는 다른 클라우드에 있을 수 있습니다.
1.2 Linux 머신에 CEF 수집기 설치
Linux 컴퓨터에 Microsoft Monitoring Agent를 설치하고 필요한 포트에서 수신 대기하고 메시지를 Microsoft Sentinel 작업 영역으로 전달하도록 컴퓨터를 구성합니다. CEF 수집기는 포트 514 TCP에서 CEF 메시지를 수집합니다.
- python -version 명령을 사용하여 컴퓨터에 Python이 있는지 확인합니다.
- 머신에 상승된 권한(sudo)이 있어야 합니다.
다음 명령을 실행하여 CEF 수집기를 설치하고 적용합니다.
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Syslog 에이전트로 전달하도록 Infoblox Cloud Data Connector에 Syslog 데이터를 보내도록 Infoblox 구성
Linux Syslog 에이전트를 통해 Microsoft Sentinel로 데이터를 보내도록 Infoblox CDC를 구성하려면 아래 단계를 수행합니다.
- 관리 > 데이터 커넥터로 이동합니다.
- 상단에 있는 대상 구성 탭을 클릭합니다.
- 만들기 > Syslog를 클릭합니다.
- 이름: 새 대상에 의미 있는 이름을 지정합니다(예: Microsoft-Sentinel-Destination).
- 설명: 필요에 따라 의미 있는 설명을 제공합니다.
- 상태: 상태를 사용으로 설정합니다.
- 형식: 형식을 CEF로 설정합니다.
- FQDN/IP: Linux 에이전트가 설치된 Linux 디바이스의 IP 주소를 입력합니다.
- 포트: 포트 번호를 514로 그대로 둡니다.
- 프로토콜: 해당하는 경우 원하는 프로토콜 및 CA 인증서를 선택합니다.
- 저장 후 닫기를 클릭합니다.
- 상단에 있는 트래픽 흐름 구성 탭을 클릭합니다.
- 만들기를 클릭합니다.
- 이름: 새 트래픽 흐름에 의미 있는 이름을 지정합니다(예: Microsoft-Sentinel-Flow).
- 설명: 필요에 따라 의미 있는 설명을 제공합니다.
- 상태: 상태를 사용으로 설정합니다.
- 서비스 인스턴스 섹션을 확장합니다.
- 서비스 인스턴스: 데이터 커넥터 서비스가 사용하도록 설정된 원하는 서비스 인스턴스를 선택합니다.
- 원본 구성 섹션을 확장합니다.
- 원본: BloxOne Cloud Source를 선택합니다.
- 수집하려는 모든 로그 유형을 선택합니다. 현재 지원되는 로그 유형은 다음과 같습니다.
- TD(Threat Defense) 쿼리/응답 로그
- TD(Threat Defense) 위협 피드 적중 횟수 로그
- DDI 쿼리/응답 로그
- DDI DHCP 임대 로그
- 대상 구성 섹션을 확장합니다.
- 방금 만든 대상을 선택합니다.
- 저장 후 닫기를 클릭합니다.
구성이 활성화할 약간의 시간을 허용합니다.
연결 유효성 검사
지침에 따라 연결의 유효성을 검사합니다.
Log Analytics를 열어 CommonSecurityLog 스키마를 사용하여 로그가 수신되는지 확인합니다.
연결이 데이터를 작업 영역으로 스트리밍할 때까지 약 20분 정도 걸릴 수 있습니다.
로그가 수신되지 않으면 다음 연결 유효성 검사 스크립트를 실행합니다.
- python -version 명령을 사용하여 컴퓨터에 Python이 있는지 확인합니다.
- 머신에 상승된 권한(sudo)이 있어야 합니다.
다음 명령을 실행하여 연결의 유효성을 검사합니다.
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- 컴퓨터 보호
머신 보안은 조직의 보안 정책에 따라 구성해야 합니다.
다음 단계
자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.