Udostępnij za pośrednictwem

Łącznik danych infoblox za pośrednictwem interfejsu API REST (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel

  • Artykuł

Łącznik danych infoblox umożliwia łatwe łączenie danych infoblox TIDE i danych dokumentacji z usługą Microsoft Sentinel. Łącząc dane z usługą Microsoft Sentinel, możesz skorzystać z funkcji wyszukiwania i korelacji, alertów i wzbogacania analizy zagrożeń dla każdego dziennika.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

Atrybuty łącznika

Atrybut łącznika opis
Tabele usługi Log Analytics Failed_Range_To_Ingest_CL
Infoblox_Failed_Indicators_CL
dossier_whois_CL
dossier_tld_risk_CL
dossier_threat_actor_CL
dossier_rpz_feeds_records_CL
dossier_rpz_feeds_CL
dossier_nameserver_matches_CL
dossier_nameserver_CL
dossier_malware_analysis_v3_CL
dossier_inforank_CL
dossier_infoblox_web_cat_CL
dossier_geo_CL
dossier_dns_CL
dossier_atp_threat_CL
dossier_atp_CL
dossier_ptr_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Infoblox

Przykłady zapytań

Odebrany zakres czasu wskaźnika niepowodzenia

Failed_Range_To_Ingest_CL

| sort by TimeGenerated desc

Dane zakresu wskaźników, które zakończyły się niepowodzeniem

Infoblox_Failed_Indicators_CL

| sort by TimeGenerated desc

Dokumentacja źródła danych whois

dossier_whois_CL

| sort by TimeGenerated desc

Dokumentacja tld źródła danych o podwyższonym ryzyku

dossier_tld_risk_CL

| sort by TimeGenerated desc

Źródło danych aktora zagrożeń dokumentacji

dossier_threat_actor_CL

| sort by TimeGenerated desc

Źródło danych źródła danych dokumentacji rpz

dossier_rpz_feeds_records_CL

| sort by TimeGenerated desc

Źródło danych źródła danych źródła danych dokumentacji rpz

dossier_rpz_feeds_CL

| sort by TimeGenerated desc

Serwer nazw dokumentacji odpowiada źródle danych

dossier_nameserver_matches_CL

| sort by TimeGenerated desc

Źródło danych serwera nazw dokumentacji

dossier_nameserver_CL

| sort by TimeGenerated desc

Analiza złośliwego oprogramowania w wersji 3 źródła danych dokumentacji

dossier_malware_analysis_v3_CL

| sort by TimeGenerated desc

Źródło danych inforank dokumentacji

dossier_inforank_CL

| sort by TimeGenerated desc

Dokumentacja źródła danych web cat infoblox

dossier_infoblox_web_cat_CL

| sort by TimeGenerated desc

Źródło danych geograficznych dokumentacji

dossier_geo_CL

| sort by TimeGenerated desc

Dokumentacja źródła danych DNS

dossier_dns_CL

| sort by TimeGenerated desc

Dokumentacja dotycząca źródła danych zagrożenia

dossier_atp_threat_CL

| sort by TimeGenerated desc

Dokumentacja źródła danych atp

dossier_atp_CL

| sort by TimeGenerated desc

Źródło danych dokumentacji ptr

dossier_ptr_CL

| sort by TimeGenerated desc

Wymagania wstępne

Aby zintegrować z łącznikiem danych infoblox za pośrednictwem interfejsu API REST (przy użyciu usługi Azure Functions), upewnij się, że:

  • Subskrypcja platformy Azure: Subskrypcja platformy Azure z rolą właściciela jest wymagana do zarejestrowania aplikacji w identyfikatorze Entra firmy Microsoft i przypisania roli współautora do aplikacji w grupie zasobów.
  • Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: klucz interfejsu API infoblox jest wymagany. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w dokumentacji interfejsu API REST

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik używa usługi Azure Functions do nawiązywania połączenia z interfejsem API rozwiązania Infoblox w celu utworzenia wskaźników zagrożeń dla TIDE i ściągnięcia danych dokumentacji do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.

(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.

KROK 1. Kroki rejestracji aplikacji dla aplikacji w identyfikatorze Entra firmy Microsoft

Ta integracja wymaga rejestracji aplikacji w witrynie Azure Portal. Wykonaj kroki opisane w tej sekcji, aby utworzyć nową aplikację w usłudze Microsoft Entra ID:

  1. Zaloguj się w witrynie Azure Portal.
  2. Wyszukaj i wybierz Tożsamość Microsoft Entra.
  3. W obszarze Zarządzanie wybierz pozycję Rejestracje aplikacji > Nowa rejestracja.
  4. Wprowadź nazwę wyświetlaną aplikacji.
  5. Wybierz pozycję Zarejestruj, aby ukończyć początkową rejestrację aplikacji.
  6. Po zakończeniu rejestracji w witrynie Azure Portal zostanie wyświetlone okienko Przegląd rejestracji aplikacji. Zobaczysz identyfikator aplikacji (klienta) i identyfikator dzierżawy. Identyfikator klienta i identyfikator dzierżawy są wymagane jako parametry konfiguracji do wykonania podręcznika TriggersSync.

Link referencyjny: /azure/active-directory/develop/quickstart-register-app

KROK 2. Dodawanie wpisu tajnego klienta dla aplikacji w identyfikatorze Entra firmy Microsoft

Czasami nazywane hasłem aplikacji wpis tajny klienta jest wartością ciągu wymaganą do wykonania podręcznika TriggersSync. Wykonaj kroki opisane w tej sekcji, aby utworzyć nowy klucz tajny klienta:

  1. W witrynie Azure Portal w Rejestracje aplikacji wybierz aplikację.
  2. Wybierz pozycję Certyfikaty i wpisy tajne Klienta Wpisy > tajne >Nowego klienta.
  3. Dodaj opis wpisu tajnego klienta.
  4. Wybierz datę wygaśnięcia klucza tajnego lub określ niestandardowy okres ważności. Limit wynosi 24 miesiące.
  5. Wybierz Dodaj.
  6. Zapisz wartość klucza tajnego w kodzie aplikacji klienckiej. Po opuszczeniu tej strony wartość klucza tajnego nie jest nigdy wyświetlana ponowna. Wartość wpisu tajnego jest wymagana jako parametr konfiguracji do wykonania podręcznika TriggersSync.

Link referencyjny: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret

KROK 3. Przypisywanie roli Współautor do aplikacji w identyfikatorze Entra firmy Microsoft

Wykonaj kroki opisane w tej sekcji, aby przypisać rolę:

  1. W witrynie Azure Portal przejdź do pozycji Grupa zasobów i wybierz grupę zasobów.
  2. Przejdź do pozycji Kontrola dostępu (Zarządzanie dostępem i tożsamościami) z panelu po lewej stronie.
  3. Kliknij pozycję Dodaj, a następnie wybierz pozycję Dodaj przypisanie roli.
  4. Wybierz pozycję Współautor jako rolę i kliknij przycisk Dalej.
  5. W obszarze Przypisz dostęp do wybierz pozycję User, group, or service principal.
  6. Kliknij pozycję Dodaj członków i wpisz utworzoną nazwę aplikacji i wybierz ją.
  7. Teraz kliknij pozycję Przejrzyj i przypisz , a następnie ponownie kliknij pozycję Przejrzyj i przypisz.

Link referencyjny: /azure/role-based-access-control/role-assignments-portal

KROK 4. Kroki generowania poświadczeń interfejsu API infoblox

Postępuj zgodnie z tymi instrukcjami, aby wygenerować klucz interfejsu API infoblox. W portalu infoblox Cloud Services wygeneruj klucz interfejsu API i skopiuj go gdzieś bezpiecznie do użycia w następnym kroku. Instrukcje dotyczące tworzenia kluczy interfejsu API można znaleźć tutaj.

KROK 5. Kroki wdrażania łącznika i skojarzonej funkcji platformy Azure

WAŻNE: Przed wdrożeniem łącznika danych infoblox należy ponownie udostępnić identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następującego).

Szablon usługi Azure Resource Manager (ARM)

Ta metoda służy do automatycznego wdrażania łącznika danych infoblox.

  1. Kliknij przycisk Wdróż na platformie Azure poniżej.

    Wdróż na platformie Azure

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź poniższe informacje: Identyfikator dzierżawy platformy Azure Identyfikator klienta platformy Azure Identyfikator klienta platformy Azure Infoblox Token interfejsu API Infoblox Podstawowy identyfikator obszaru roboczego adresu URL Poziom dziennika klucza obszaru roboczego (domyślnie: INFORMACJE) Identyfikator zasobu obszaru roboczego usługi App Insights poziomu zaufania usługi App Insights

  4. Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.