Compartilhar via


Conector de Dados Infoblox via API REST (usando o Azure Functions) para o Microsoft Sentinel

O Conector de Dados do Infoblox permite que você conecte facilmente seus dados TIDE do Infoblox e dados de dossiê ao Microsoft Sentinel. Ao conectar dados ao Microsoft Sentinel, você pode aproveitar a pesquisa e correlação, alertas e o enriquecimento da inteligência contra ameaças para cada log.

Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics Failed_Range_To_Ingest_CL
Infoblox_Failed_Indicators_CL
dossier_whois_CL
dossier_tld_risk_CL
dossier_threat_actor_CL
dossier_rpz_feeds_records_CL
dossier_rpz_feeds_CL
dossier_nameserver_matches_CL
dossier_nameserver_CL
dossier_malware_analysis_v3_CL
dossier_inforank_CL
dossier_infoblox_web_cat_CL
dossier_geo_CL
dossier_dns_CL
dossier_atp_threat_CL
dossier_atp_CL
dossier_ptr_CL
Suporte às regras de coleta de dados Sem suporte no momento
Com suporte por Infoblox

Exemplos de consulta

Intervalo de tempo do Indicador com falha recebido

Failed_Range_To_Ingest_CL

| sort by TimeGenerated desc

Dados de Intervalo de Indicadores com Falha

Infoblox_Failed_Indicators_CL

| sort by TimeGenerated desc

Dossiê de fonte de dados whois

dossier_whois_CL

| sort by TimeGenerated desc

Dossiê de fonte de dados de risco de domínio

dossier_tld_risk_CL

| sort by TimeGenerated desc

Dossiê de fonte de dados do ator de ameaça

dossier_threat_actor_CL

| sort by TimeGenerated desc

Dossiê rpz alimenta a fonte de dados de registros

dossier_rpz_feeds_records_CL

| sort by TimeGenerated desc

Dossiê rpz alimenta a fonte de dados

dossier_rpz_feeds_CL

| sort by TimeGenerated desc

Dossiê do nameserver corresponde à fonte de dados

dossier_nameserver_matches_CL

| sort by TimeGenerated desc

Dossiê da fonte de dados do nameserver

dossier_nameserver_CL

| sort by TimeGenerated desc

Dossiê da fonte de dados de análise de malware v3

dossier_malware_analysis_v3_CL

| sort by TimeGenerated desc

Dossiê da fonte de dados inforank

dossier_inforank_CL

| sort by TimeGenerated desc

Dossiê da fonte de dados do infoblox web cat

dossier_infoblox_web_cat_CL

| sort by TimeGenerated desc

Dossiê da fonte de dados geográfica

dossier_geo_CL

| sort by TimeGenerated desc

Dossiê da fonte de dados DNS

dossier_dns_CL

| sort by TimeGenerated desc

Dossiê da fonte de dados de ameaça do atp

dossier_atp_threat_CL

| sort by TimeGenerated desc

Dossiê da fonte de dados do atp

dossier_atp_CL

| sort by TimeGenerated desc

Dossiê da fonte de dados do ptr

dossier_ptr_CL

| sort by TimeGenerated desc

Pré-requisitos

Para integrar ao Conector de Dados do Infoblox por meio da API REST (usando o Azure Functions), verifique se você tem:

  • Assinatura do Azure: a assinatura do Azure com função de proprietário é necessária para registrar um aplicativo no Microsoft Entra ID e atribuir a função de contribuidor ao aplicativo no grupo de recursos.
  • Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
  • Credenciais/permissões da API REST: a Chave de API do Infoblox é necessária. Consulte a documentação para saber mais sobre a API na referência API REST

Instruções de instalação do fornecedor

Observação

Esse conector usa o Azure Functions para se conectar à API do Infoblox para criar Indicadores de Ameaças para TIDE e efetuar pull de dados do Dossier no Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.

(Etapa opcional): armazene o espaço de trabalho e as chaves de autorização ou tokens da API com segurança no Azure Key Vault. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um aplicativos do Azure Function.

ETAPA 1: Etapas de registro do aplicativo no Microsoft Entra ID

Essa integração requer um registo de App no portal do Azure. Siga as etapas nessa seção para criar um novo aplicativo no Microsoft Entra ID:

  1. Entre no portal do Azure.
  2. Procure e selecione o Microsoft Entra ID.
  3. Em Gerenciar, selecione Registros de aplicativo > Novo registro.
  4. Insira um Nome de exibição para o seu aplicativo.
  5. Selecione Registrar para concluir o registro inicial do aplicativo.
  6. Quando o registro for concluído, o portal do Azure exibirá o painel Visão geral do registro de aplicativo. Você vê o ID do aplicativo (cliente) e o ID do locatário. A ID do cliente e a ID do locatário são necessárias como parâmetros de configuração para a execução do guia estratégico TriggersSync.

Link de referência: /azure/active-directory/develop/quickstart-register-app

ETAPA 2: Adicionar um segredo de cliente para o aplicativo no Microsoft Entra ID

Às vezes chamado de senha do aplicativo, o segredo do cliente é um valor de cadeia de caracteres necessário para a execução do guia estratégico TriggersSync. Siga as etapas nessa seção para criar um novo segredo do cliente:

  1. No portal do Azure, em Registros de aplicativo, selecione seu aplicativo.
  2. Selecione Certificados e segredos > Segredos do cliente > Novo segredo do cliente.
  3. Adicione uma descrição para o segredo do cliente.
  4. Selecione uma data de expiração para o segredo ou especifique um tempo de vida personalizado. O limite é de 24 meses.
  5. Selecione Adicionar.
  6. Registre o valor do segredo para uso no código do aplicativo cliente. Esse valor secreto nunca será exibido novamente depois que você sair dessa página. O valor secreto é necessário como parâmetro de configuração para a execução do guia estratégico TriggersSync.

Link de referência: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ETAPA 3: Atribuir a função de Colaborador ao aplicativo no Microsoft Entra ID

Siga as etapas nessa seção para atribuir a função:

  1. No portal do Azure, vá para Grupo de Recursos e selecione seu grupo de recursos.
  2. Vá para Controle de acesso (IAM) no painel esquerdo.
  3. Clique em Adicionar e selecione Adicionar atribuição de função.
  4. Selecione Contribuidor como função e clique em próximo.
  5. Em Atribuir acesso a, selecione User, group, or service principal.
  6. Clique em adicionar membrose digite o nome do seu aplicativo que você criou e selecione-o.
  7. Agora clique em Revisar + atribuir e depois clique novamente em Revisar + atribuir.

Link de referência: /azure/role-based-access-control/role-assignments-portal

ETAPA 4 – Etapas para gerar as credenciais da API do Infoblox

Siga estas instruções para gerar a Chave de API do Infoblox. No Portal dos Serviços de Nuvem do Infoblox, gere uma chave de API e copie-a em algum lugar seguro para usar na próxima etapa. Você pode encontrar instruções sobre como criar chaves de API aqui.

ETAPA 5 - Etapas para implantar o conector e a Função do Azure associada

IMPORTANTE: Antes de implantar o conector de dados do Infoblox, tenha em mãos a ID do espaço de trabalho e a chave primária do espaço de trabalho (podem ser copiadas do seguinte) prontamente disponíveis.., bem como as Credenciais de Autorização da API Infoblox

Modelo do ARM (Azure Resource Manager)

Use esse método para a implantação automatizada do conector do Infoblox.

  1. Clique no botão Implantar no Azure abaixo.

    Implantar no Azure

  2. Selecione a Assinatura, o Grupo de Recursos e o Local de sua preferência.

  3. Insira as informações abaixo: ID do Inquilino do Azure ID do Cliente do Azure Segredo do Cliente do Azure Token da API Infoblox URL Base do Infoblox ID do Workspace Chave do Workspace Nível de Log (Padrão: INFO) Nível de Confiança de Ameaça ID do Recurso do Workspace do App Insights

  4. Marque a caixa de seleção rotulada como Concordo com os termos e condições declarados acima.

  5. Clique em Comprar para fazer a implantação.

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.