Udostępnij za pośrednictwem


[Zalecane] Łącznik danych w chmurze infoblox za pośrednictwem łącznika usługi AMA dla usługi Microsoft Sentinel

Łącznik danych infoblox Cloud Data Connector umożliwia łatwe łączenie danych rozwiązania Infoblox z usługą Microsoft Sentinel. Łącząc dzienniki z usługą Microsoft Sentinel, możesz skorzystać z funkcji wyszukiwania i korelacji, alertów i wzbogacania analizy zagrożeń dla każdego dziennika.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

Atrybuty łącznika

Atrybut łącznika opis
Tabele usługi Log Analytics CommonSecurityLog
Obsługa reguł zbierania danych Przekształcanie obszaru roboczego DCR
Obsługiwane przez Infoblox

Przykłady zapytań

Zwracanie wszystkich dzienników blokuj zapytania DNS/odpowiedzi

CommonSecurityLog

| where DeviceEventClassID has_cs "RPZ"

Zwracanie wszystkich dzienników zapytań/odpowiedzi DNS

CommonSecurityLog

| where DeviceEventClassID has_cs "DNS"

Zwracanie wszystkich dzienników zapytań/odpowiedzi DHCP

CommonSecurityLog

| where DeviceEventClassID has_cs "DHCP"

Zwracanie wszystkich dzienników usługi zapytań/dzienników odpowiedzi

CommonSecurityLog

| where DeviceEventClassID has_cs "Service"

Zwracanie wszystkich dzienników zapytań inspekcji/odpowiedzi

CommonSecurityLog

| where DeviceEventClassID has_cs "Audit"

Zwracanie wszystkich dzienników zdarzeń zabezpieczeń filtrów kategorii

CommonSecurityLog

| where DeviceEventClassID has_cs "RPZ"

| where AdditionalExtensions has_cs "InfobloxRPZ=CAT_"

Zwracanie wszystkich dzienników zdarzeń zabezpieczeń filtrów aplikacji

CommonSecurityLog

| where DeviceEventClassID has_cs "RPZ"

| where AdditionalExtensions has_cs "InfobloxRPZ=APP_"

Zwracanie 10 pierwszych trafień domen TD

CommonSecurityLog

| where DeviceEventClassID has_cs "RPZ" 

| summarize count() by DestinationDnsDomain 

| top 10 by count_ desc

Zwracanie pierwszych 10 trafień źródłowych adresów IP TD

CommonSecurityLog

| where DeviceEventClassID has_cs "RPZ" 

| summarize count() by SourceIP 

| top 10 by count_ desc

Zwracanie ostatnio utworzonych dzierżaw DHCP

CommonSecurityLog

| where DeviceEventClassID == "DHCP-LEASE-CREATE"

Instrukcje instalacji dostawcy

WAŻNE: Ten łącznik danych usługi Microsoft Sentinel zakłada, że host łącznika danych infoblox został już utworzony i skonfigurowany w portalu Infoblox Cloud Services Portal (CSP). Ponieważ łącznik danych infoblox jest funkcją usługi Threat Defense, wymagany jest dostęp do odpowiedniej subskrypcji usługi Threat Defense. Zobacz ten przewodnik Szybki start, aby uzyskać więcej informacji i wymagań dotyczących licencjonowania.

  1. Konfiguracja agenta syslogu systemu Linux

Zainstaluj i skonfiguruj agenta systemu Linux w celu zbierania komunikatów dziennika systemu Common Event Format (CEF) i przekazywania ich do usługi Microsoft Sentinel.

Zwróć uwagę, że dane ze wszystkich regionów będą przechowywane w wybranym obszarze roboczym

1.1 Wybieranie lub tworzenie maszyny z systemem Linux

Wybierz lub utwórz maszynę z systemem Linux, która będzie używana przez usługę Microsoft Sentinel jako serwer proxy między rozwiązaniem zabezpieczeń a usługą Microsoft Sentinel, może znajdować się w środowisku lokalnym, na platformie Azure lub w innych chmurach.

1.2 Instalowanie modułu zbierającego CEF na maszynie z systemem Linux

Zainstaluj program Microsoft Monitoring Agent na maszynie z systemem Linux i skonfiguruj maszynę do nasłuchiwania na wymaganym porcie i przekazywania komunikatów do obszaru roboczego usługi Microsoft Sentinel. Moduł zbierający CEF zbiera komunikaty CEF na porcie 514 TCP.

  1. Upewnij się, że na maszynie jest używany język Python, używając następującego polecenia: python -version.
  1. Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na maszynie.

Uruchom następujące polecenie, aby zainstalować i zastosować moduł zbierający CEF:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Konfigurowanie rozwiązania Infoblox w celu wysyłania danych dziennika systemowego do łącznika danych w chmurze infoblox w celu przekazywania danych do agenta syslog

Wykonaj poniższe kroki, aby skonfigurować centrum CDC systemu Infoblox w celu wysyłania danych do usługi Microsoft Sentinel za pośrednictwem agenta syslog systemu Linux.

  1. Przejdź do obszaru Zarządzanie łącznikiem >danych.
  2. Kliknij kartę Konfiguracja docelowa u góry.
  3. Kliknij pozycję Utwórz > dziennik systemowy.
  • Nazwa: nadaj nowej lokalizacji docelowej zrozumiałą nazwę, taką jak Microsoft-Sentinel-Destination.
  • Opis: opcjonalnie podaj opis opisowy.
  • Stan: ustaw stan na Włączone.
  • Format: ustaw format na CEF.
  • Nazwa FQDN/ip: wprowadź adres IP urządzenia z systemem Linux, na którym zainstalowano agenta systemu Linux.
  • Port: pozostaw numer portu na 514.
  • Protokół: wybierz żądany protokół i certyfikat urzędu certyfikacji, jeśli ma to zastosowanie.
  • Kliknij pozycję Zapisz i zamknij.
  1. Kliknij kartę Konfiguracja przepływu ruchu u góry.
  2. Kliknij pozycję Utwórz.
  • Nazwa: nadaj nowemu przepływowi ruchu zrozumiałą nazwę, taką jak Microsoft-Sentinel-Flow.
  • Opis: opcjonalnie podaj opis opisowy.
  • Stan: ustaw stan na Włączone.
  • Rozwiń sekcję Wystąpienie usługi.
    • Wystąpienie usługi: wybierz żądane wystąpienie usługi, dla którego włączono usługę Łącznik danych.
  • Rozwiń sekcję Konfiguracja źródła.
    • Źródło: wybierz pozycję Źródło chmury BloxOne.
    • Wybierz wszystkie żądane typy dzienników , które chcesz zebrać. Obecnie obsługiwane typy dzienników to:
      • Dziennik zapytań/odpowiedzi usługi Threat Defense
      • Dziennik kanałów zagrożeń usługi Threat Defense
      • Dziennik zapytań/odpowiedzi DDI
      • Dziennik dzierżawy DHCP DDI
  • Rozwiń sekcję Konfiguracja docelowa.
    • Wybierz właśnie utworzoną lokalizację docelową.
  • Kliknij pozycję Zapisz i zamknij.
  1. Poczekaj na aktywowanie konfiguracji.

  2. Weryfikowanie połączenia

Postępuj zgodnie z instrukcjami, aby zweryfikować łączność:

Otwórz usługę Log Analytics, aby sprawdzić, czy dzienniki są odbierane przy użyciu schematu CommonSecurityLog.

Przesyłanie strumieniowe danych połączenia do obszaru roboczego może potrwać około 20 minut.

Jeśli dzienniki nie zostaną odebrane, uruchom następujący skrypt weryfikacji łączności:

  1. Upewnij się, że na maszynie jest używany język Python, używając następującego polecenia: python -version
  1. Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na maszynie

Uruchom następujące polecenie, aby zweryfikować łączność:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Zabezpieczanie maszyny

Upewnij się, że skonfigurować zabezpieczenia maszyny zgodnie z zasadami zabezpieczeń organizacji

Dowiedz się więcej >

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.