Udostępnij za pośrednictwem


[Zalecane] Łącznik danych usługi Infoblox SOC Insight za pośrednictwem łącznika usługi AMA dla usługi Microsoft Sentinel

Łącznik danych usługi Infoblox SOC Insight umożliwia łatwe łączenie danych usługi Infoblox BloxOne SOC Insight z usługą Microsoft Sentinel. Łącząc dzienniki z usługą Microsoft Sentinel, możesz skorzystać z funkcji wyszukiwania i korelacji, alertów i wzbogacania analizy zagrożeń dla każdego dziennika.

Ten łącznik danych pozyskuje dzienniki cdC usługi Infoblox SOC Insight w obszarze roboczym usługi Log Analytics przy użyciu nowego agenta usługi Azure Monitor. Dowiedz się więcej na temat pozyskiwania przy użyciu nowego agenta usługi Azure Monitor tutaj. Firma Microsoft zaleca korzystanie z tego łącznika danych.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

Atrybuty łącznika

Atrybut łącznika opis
Tabele usługi Log Analytics CommonSecurityLog (InfobloxCDC_SOCInsights)
Obsługa reguł zbierania danych Przekształcanie obszaru roboczego DCR
Obsługiwane przez Infoblox

Przykłady zapytań

Zwracanie wszystkich dzienników obejmujących tunelowanie DNS

InfobloxCDC_SOCInsights

| where ThreatType == "DNS Tunneling"

Zwracanie wszystkich dzienników dotyczących problemu z konfiguracją

InfobloxCDC_SOCInsights

| where ThreatClass == "TI-CONFIGURATIONISSUE"

Zwracanie wszystkich dzienników wysokiego poziomu zagrożenia

InfobloxCDC_SOCInsights

| where ThreatLevel == "High"

Zwracanie zgłoszonych dzienników stanu

InfobloxCDC_SOCInsights

| where Status == "RAISED"

Zwracanie dzienników z udziałem dużej liczby odblokowanych trafień DNS

InfobloxCDC_SOCInsights

| where NotBlockedCount >= 100

Zwracanie poszczególnych szczegółowych informacji według narzędzia ThreatFamily

InfobloxCDC_SOCInsights

| summarize dcount(InfobloxInsightID) by ThreatFamily

Wymagania wstępne

Aby zintegrować z łącznikiem danych szczegółowych informacji SOC soc systemu Infoblox za pośrednictwem usługi AMA, upewnij się, że:

  • : Aby zbierać dane z maszyn wirtualnych spoza platformy Azure, muszą mieć zainstalowaną i włączoną usługę Azure Arc. Dowiedz się więcej
  • : należy zainstalować typowe formaty zdarzeń (CEF) za pośrednictwem usługi AMA i dziennika systemowego za pośrednictwem łączników danych usługi AMA. Dowiedz się więcej

Instrukcje instalacji dostawcy

Klucze obszaru roboczego

Aby móc używać podręczników w ramach tego rozwiązania, znajdź swój identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego poniżej, aby zapewnić wygodę.

Klucz obszaru roboczego

Parsery

Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami o nazwie InfobloxCDC_SOCInsights , która jest wdrażana przy użyciu rozwiązania Microsoft Sentinel.

SOC Insights

Ten łącznik danych zakłada, że masz dostęp do szczegółowych informacji soc usługi Infoblox BloxOne Threat Defense. Więcej informacji na temat usługi SOC Insights można znaleźć tutaj.

Łącznik danych w chmurze infoblox

Ten łącznik danych zakłada, że host łącznika danych infoblox został już utworzony i skonfigurowany w portalu Infoblox Cloud Services Portal (CSP). Ponieważ łącznik danych infoblox jest funkcją usługi BloxOne Threat Defense, wymagany jest dostęp do odpowiedniej subskrypcji usługi BloxOne Threat Defense. Zobacz ten przewodnik Szybki start, aby uzyskać więcej informacji i wymagań dotyczących licencjonowania.

  1. Zabezpieczanie maszyny

Upewnij się, że skonfigurować zabezpieczenia maszyny zgodnie z zasadami zabezpieczeń organizacji

Dowiedz się więcej >

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.