[Zalecane] Łącznik danych usługi Infoblox SOC Insight za pośrednictwem łącznika usługi AMA dla usługi Microsoft Sentinel
Łącznik danych usługi Infoblox SOC Insight umożliwia łatwe łączenie danych usługi Infoblox BloxOne SOC Insight z usługą Microsoft Sentinel. Łącząc dzienniki z usługą Microsoft Sentinel, możesz skorzystać z funkcji wyszukiwania i korelacji, alertów i wzbogacania analizy zagrożeń dla każdego dziennika.
Ten łącznik danych pozyskuje dzienniki cdC usługi Infoblox SOC Insight w obszarze roboczym usługi Log Analytics przy użyciu nowego agenta usługi Azure Monitor. Dowiedz się więcej na temat pozyskiwania przy użyciu nowego agenta usługi Azure Monitor tutaj. Firma Microsoft zaleca korzystanie z tego łącznika danych.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
Atrybuty łącznika
Atrybut łącznika | opis |
---|---|
Tabele usługi Log Analytics | CommonSecurityLog (InfobloxCDC_SOCInsights) |
Obsługa reguł zbierania danych | Przekształcanie obszaru roboczego DCR |
Obsługiwane przez | Infoblox |
Przykłady zapytań
Zwracanie wszystkich dzienników obejmujących tunelowanie DNS
InfobloxCDC_SOCInsights
| where ThreatType == "DNS Tunneling"
Zwracanie wszystkich dzienników dotyczących problemu z konfiguracją
InfobloxCDC_SOCInsights
| where ThreatClass == "TI-CONFIGURATIONISSUE"
Zwracanie wszystkich dzienników wysokiego poziomu zagrożenia
InfobloxCDC_SOCInsights
| where ThreatLevel == "High"
Zwracanie zgłoszonych dzienników stanu
InfobloxCDC_SOCInsights
| where Status == "RAISED"
Zwracanie dzienników z udziałem dużej liczby odblokowanych trafień DNS
InfobloxCDC_SOCInsights
| where NotBlockedCount >= 100
Zwracanie poszczególnych szczegółowych informacji według narzędzia ThreatFamily
InfobloxCDC_SOCInsights
| summarize dcount(InfobloxInsightID) by ThreatFamily
Wymagania wstępne
Aby zintegrować z łącznikiem danych szczegółowych informacji SOC soc systemu Infoblox za pośrednictwem usługi AMA, upewnij się, że:
- : Aby zbierać dane z maszyn wirtualnych spoza platformy Azure, muszą mieć zainstalowaną i włączoną usługę Azure Arc. Dowiedz się więcej
- : należy zainstalować typowe formaty zdarzeń (CEF) za pośrednictwem usługi AMA i dziennika systemowego za pośrednictwem łączników danych usługi AMA. Dowiedz się więcej
Instrukcje instalacji dostawcy
Klucze obszaru roboczego
Aby móc używać podręczników w ramach tego rozwiązania, znajdź swój identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego poniżej, aby zapewnić wygodę.
Klucz obszaru roboczego
Parsery
Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami o nazwie InfobloxCDC_SOCInsights , która jest wdrażana przy użyciu rozwiązania Microsoft Sentinel.
SOC Insights
Ten łącznik danych zakłada, że masz dostęp do szczegółowych informacji soc usługi Infoblox BloxOne Threat Defense. Więcej informacji na temat usługi SOC Insights można znaleźć tutaj.
Łącznik danych w chmurze infoblox
Ten łącznik danych zakłada, że host łącznika danych infoblox został już utworzony i skonfigurowany w portalu Infoblox Cloud Services Portal (CSP). Ponieważ łącznik danych infoblox jest funkcją usługi BloxOne Threat Defense, wymagany jest dostęp do odpowiedniej subskrypcji usługi BloxOne Threat Defense. Zobacz ten przewodnik Szybki start, aby uzyskać więcej informacji i wymagań dotyczących licencjonowania.
- Zabezpieczanie maszyny
Upewnij się, że skonfigurować zabezpieczenia maszyny zgodnie z zasadami zabezpieczeń organizacji
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.