[Aanbevolen] Infoblox SOC Insight Data Connector via AMA-connector voor Microsoft Sentinel
Met de Infoblox SOC Insight Data Connector kunt u eenvoudig uw Infoblox BloxOne SOC Insight-gegevens verbinden met Microsoft Sentinel. Door uw logboeken te verbinden met Microsoft Sentinel, kunt u voor elk logboek profiteren van zoek- en correlatie, waarschuwingen en bedreigingsinformatieverrijking.
Met deze gegevensconnector worden Infoblox SOC Insight CDC-logboeken opgenomen in uw Log Analytics-werkruimte met behulp van de nieuwe Azure Monitor-agent. Meer informatie over opnemen met behulp van de nieuwe Azure Monitor-agent vindt u hier. Microsoft raadt aan deze gegevensconnector te gebruiken.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Connectorkenmerken
| Kenmerk connector | Beschrijving |
|---|---|
| Log Analytics-tabellen | CommonSecurityLog (InfobloxCDC_SOCInsights) |
| Ondersteuning voor regels voor gegevensverzameling | DCR voor werkruimtetransformatie |
| Ondersteund door | Infoblox |
Voorbeelden van query's
Alle logboeken retourneren die betrekking hebben op DNS-tunneling
InfobloxCDC_SOCInsights
| where ThreatType == "DNS Tunneling"
Alle logboeken retourneren met een configuratieprobleem
InfobloxCDC_SOCInsights
| where ThreatClass == "TI-CONFIGURATIONISSUE"
Alle logboeken op hoog bedreigingsniveau retourneren
InfobloxCDC_SOCInsights
| where ThreatLevel == "High"
Gegenereerde statuslogboeken retourneren
InfobloxCDC_SOCInsights
| where Status == "RAISED"
Retourlogboeken met een grote hoeveelheid niet-geblokkeerde DNS-treffers
InfobloxCDC_SOCInsights
| where NotBlockedCount >= 100
Elk inzicht retourneren per ThreatFamily
InfobloxCDC_SOCInsights
| summarize dcount(InfobloxInsightID) by ThreatFamily
Vereisten
Als u wilt integreren met [Aanbevolen] Infoblox SOC Insight Data Connector via AMA, moet u het volgende doen:
- : Als u gegevens van niet-Azure-VM's wilt verzamelen, moet Azure Arc zijn geïnstalleerd en ingeschakeld. Meer informatie
- : Common Event Format (CEF) via AMA en Syslog via AMA-gegevensconnectors moet worden geïnstalleerd. Meer informatie
Installatie-instructies van leverancier
Werkruimtesleutels
Als u de playbooks als onderdeel van deze oplossing wilt gebruiken, zoekt u uw werkruimte-id en primaire sleutel van de werkruimte hieronder voor uw gemak.
Werkruimtesleutel
Parsers
Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht, InfobloxCDC_SOCInsights die is geïmplementeerd met de Microsoft Sentinel-oplossing.
SOC Insights
Bij deze gegevensconnector wordt ervan uitgegaan dat u toegang hebt tot Infoblox BloxOne Threat Defense SOC Insights. Hier vindt u meer informatie over SOC Insights.
Infoblox Cloud Data Connector
Bij deze gegevensconnector wordt ervan uitgegaan dat er al een Infoblox Data Connector-host is gemaakt en geconfigureerd in de Infoblox Cloud Services-portal (CSP). Aangezien de Infoblox Data Connector een functie van BloxOne Threat Defense is, is toegang tot een geschikt BloxOne Threat Defense-abonnement vereist. Raadpleeg deze snelstartgids voor meer informatie en licentievereisten.
- Uw computer beveiligen
Zorg ervoor dat u de beveiliging van de machine configureert volgens het beveiligingsbeleid van uw organisatie
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.