[권장] Microsoft Sentinel용 AMA 커넥터를 통한 Infoblox SOC Insight Data Connector
Infoblox SOC Insight Data Connector를 사용하면 Infoblox BloxOne SOC Insight 데이터를 Microsoft Sentinel에 쉽게 연결할 수 있습니다. 로그를 Microsoft Sentinel에 연결하면 각 로그에 대한 검색 및 상관 관계, 경고, 위협 인텔리전스 보강을 활용할 수 있습니다.
이 데이터 커넥터는 새 Azure Monitor 에이전트를 사용하여 Infoblox SOC Insight CDC 로그를 Log Analytics 작업 영역에 수집합니다. 여기에서 새 Azure Monitor 에이전트 를 사용하여 수집하는 방법에 대해 자세히 알아봅니다. 이 데이터 커넥터를 사용하는 것이 좋습니다.
자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.
커넥터 특성
| 커넥터 특성 | 설명 |
|---|---|
| Log Analytics 테이블 | CommonSecurityLog(InfobloxCDC_SOCInsights) |
| 데이터 수집 규칙 지원 | 작업 영역 변환 DCR |
| 다음에서 지원 | Infoblox |
쿼리 샘플
DNS 터널링과 관련된 모든 로그 반환
InfobloxCDC_SOCInsights
| where ThreatType == "DNS Tunneling"
구성 문제와 관련된 모든 로그 반환
InfobloxCDC_SOCInsights
| where ThreatClass == "TI-CONFIGURATIONISSUE"
모든 높은 위협 수준 로그 반환
InfobloxCDC_SOCInsights
| where ThreatLevel == "High"
발생한 상태 로그 반환
InfobloxCDC_SOCInsights
| where Status == "RAISED"
많은 양의 차단 해제된 DNS 적중이 포함된 로그를 반환합니다.
InfobloxCDC_SOCInsights
| where NotBlockedCount >= 100
ThreatFamily로 각 인사이트 반환
InfobloxCDC_SOCInsights
| summarize dcount(InfobloxInsightID) by ThreatFamily
필수 조건
AMA를 통해 [권장] Infoblox SOC Insight Data Connector와 통합하려면 다음이 있는지 확인합니다.
- ****: Azure가 아닌 VM에서 데이터를 수집하려면 Azure Arc를 설치하고 사용하도록 설정해야 합니다. 자세한 정보
- : AMA를 통한 CEF(일반 이벤트 형식) 및 AMA 데이터 커넥터를 통한 Syslog를 설치해야 합니다. 자세한 정보
공급업체 설치 지침
작업 영역 키
이 솔루션의 일부로 플레이북을 사용하려면 편의를 위해 아래 작업 영역 ID 및 작업 영역 기본 키를 찾습니다.
작업 영역 키
파서
이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 Microsoft Sentinel Solution과 함께 배포된 InfobloxCDC_SOCInsights 호출되는 예상대로 작동합니다.
SOC 인사이트
이 데이터 커넥터는 사용자가 Infoblox BloxOne Threat Defense SOC Insights에 액세스할 수 있다고 가정합니다. SOC Insights 에 대한 자세한 내용은 여기에서 확인할 수 있습니다.
Infoblox Cloud Data Connector
이 데이터 커넥터는 Infoblox Data Connector 호스트가 이미 CSP(Infoblox Cloud Services Portal)에서 만들어지고 구성되었다고 가정합니다. Infoblox Data Connector는 BloxOne 위협 방어의 기능이므로 적절한 BloxOne Threat Defense 구독에 액세스해야 합니다. 자세한 내용 및 라이선스 요구 사항은 이 빠른 시작 가이드를 참조하세요.
- 컴퓨터 보호
머신 보안은 조직의 보안 정책에 따라 구성해야 합니다.
다음 단계
자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.