[Aanbevolen] Infoblox Cloud Data Connector via AMA-connector voor Microsoft Sentinel
Met de Infoblox Cloud Data Connector kunt u eenvoudig uw Infoblox-gegevens verbinden met Microsoft Sentinel. Door uw logboeken te verbinden met Microsoft Sentinel, kunt u voor elk logboek profiteren van zoek- en correlatie, waarschuwingen en bedreigingsinformatieverrijking.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Connectorkenmerken
| Kenmerk connector | Beschrijving |
|---|---|
| Log Analytics-tabellen | CommonSecurityLog |
| Ondersteuning voor regels voor gegevensverzameling | DCR voor werkruimtetransformatie |
| Ondersteund door | Infoblox |
Voorbeelden van query's
Alle DNS-query-/antwoordlogboeken blokkeren
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
Alle DNS-query-/antwoordlogboeken retourneren
CommonSecurityLog
| where DeviceEventClassID has_cs "DNS"
Alle DHCP-query-/antwoordlogboeken retourneren
CommonSecurityLog
| where DeviceEventClassID has_cs "DHCP"
Alle query-/antwoordlogboeken van servicelogboeken retourneren
CommonSecurityLog
| where DeviceEventClassID has_cs "Service"
Alle auditquery-/antwoordlogboeken retourneren
CommonSecurityLog
| where DeviceEventClassID has_cs "Audit"
Alle beveiligingslogboeken van categoriefilters retourneren
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| where AdditionalExtensions has_cs "InfobloxRPZ=CAT_"
Alle beveiligingslogboeken voor toepassingsfilters retourneren
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| where AdditionalExtensions has_cs "InfobloxRPZ=APP_"
Top 10 TD-domeinen hit count retourneren
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| summarize count() by DestinationDnsDomain
| top 10 by count_ desc
Top 10 TD-bron-IP-adressen aantal treffers retourneren
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| summarize count() by SourceIP
| top 10 by count_ desc
Onlangs gemaakte DHCP-leases retourneren
CommonSecurityLog
| where DeviceEventClassID == "DHCP-LEASE-CREATE"
Installatie-instructies van leverancier
BELANGRIJK: Bij deze Microsoft Sentinel-gegevensconnector wordt ervan uitgegaan dat er al een Infoblox Data Connector-host is gemaakt en geconfigureerd in de Infoblox Cloud Services-portal (CSP). Omdat de Infoblox Data Connector een functie van Threat Defense is, is toegang tot een geschikt Threat Defense-abonnement vereist. Raadpleeg deze snelstartgids voor meer informatie en licentievereisten.
- Configuratie van Linux Syslog-agent
Installeer en configureer de Linux-agent om uw CEF-berichten (Common Event Format) te verzamelen en door te sturen naar Microsoft Sentinel.
U ziet dat de gegevens uit alle regio's worden opgeslagen in de geselecteerde werkruimte
1.1 Een Linux-machine selecteren of maken
Selecteer of maak een Linux-machine die Door Microsoft Sentinel wordt gebruikt als proxy tussen uw beveiligingsoplossing en Microsoft Sentinel. Deze machine kan zich in uw on-premises omgeving, Azure of andere clouds bevinden.
1.2 Installeer de CEF-collector op de Linux-machine
Installeer de Microsoft Monitoring Agent op uw Linux-computer en configureer de computer om te luisteren op de benodigde poort en berichten door te sturen naar uw Microsoft Sentinel-werkruimte. De CEF-collector verzamelt CEF-berichten op poort 514 TCP.
- Zorg ervoor dat u Python op uw computer hebt met behulp van de volgende opdracht: python -version.
- U moet verhoogde machtigingen (sudo) hebben op uw computer.
Voer de volgende opdracht uit om de CEF-collector te installeren en toe te passen:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Infoblox configureren om Syslog-gegevens te verzenden naar de Infoblox Cloud Data Connector om door te sturen naar de Syslog-agent
Volg de onderstaande stappen om de Infoblox CDC te configureren voor het verzenden van gegevens naar Microsoft Sentinel via de Linux Syslog-agent.
- Navigeer naar Gegevensconnector beheren>.
- Klik bovenaan op het tabblad Doelconfiguratie .
- Klik op Syslog maken>.
- Naam: Geef de nieuwe bestemming een betekenisvolle naam, zoals Microsoft-Sentinel-Destination.
- Beschrijving: Geef het desgewenst een zinvolle beschrijving.
- Status: Stel de status in op Ingeschakeld.
- Indeling: Stel de indeling in op CEF.
- FQDN/IP: voer het IP-adres in van het Linux-apparaat waarop de Linux-agent is geïnstalleerd.
- Poort: laat het poortnummer op 514 staan.
- Protocol: Selecteer indien van toepassing het gewenste protocol en ca-certificaat.
- Klik op Opslaan en sluiten.
- Klik bovenaan op het tabblad Configuratie van verkeersstroom.
- Klik op Create.
- Naam: Geef de nieuwe verkeersstroom een betekenisvolle naam, zoals Microsoft-Sentinel-Flow.
- Beschrijving: Geef het desgewenst een zinvolle beschrijving.
- Status: Stel de status in op Ingeschakeld.
- Vouw de sectie Service-exemplaar uit.
- Service-exemplaar: selecteer het gewenste service-exemplaar waarvoor de dataconnectorservice is ingeschakeld.
- Vouw de sectie Bronconfiguratie uit.
- Bron: Selecteer BloxOne Cloud Source.
- Selecteer alle gewenste logboektypen die u wilt verzamelen. Momenteel ondersteunde logboektypen zijn:
- Threat Defense-query/antwoordlogboek
- Bedreigingsfeeds voor threat defense-logboeken
- DDI-query/antwoordlogboek
- DDI DHCP-leaselogboek
- Vouw de sectie Doelconfiguratie uit.
- Selecteer de bestemming die u zojuist hebt gemaakt.
- Klik op Opslaan en sluiten.
De configuratie enige tijd toestaan om te activeren.
Verbinding valideren
Volg de instructies om uw connectiviteit te valideren:
Open Log Analytics om te controleren of de logboeken worden ontvangen met behulp van het CommonSecurityLog-schema.
Het kan ongeveer 20 minuten duren voordat de verbinding gegevens naar uw werkruimte streamt.
Als de logboeken niet worden ontvangen, voert u het volgende verbindingsvalidatiescript uit:
- Zorg ervoor dat u Python op uw computer hebt met behulp van de volgende opdracht: python -version
- U moet verhoogde machtigingen (sudo) hebben op uw computer
Voer de volgende opdracht uit om uw connectiviteit te valideren:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Uw computer beveiligen
Zorg ervoor dat u de beveiliging van de machine configureert volgens het beveiligingsbeleid van uw organisatie
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.