Compartilhar via


Infoblox SOC Insight Data Connector [Recomendado] por meio do conector AMA para Microsoft Sentinel

O Infoblox SOC Insight Data Connector permite que você conecte facilmente seus dados do Infoblox BloxOne SOC Insight com o Microsoft Sentinel. Ao conectar logs ao Microsoft Sentinel, você pode aproveitar a pesquisa e correlação, alertas e o enriquecimento da inteligência contra ameaças para cada log.

Esse conector de dados ingere logs do Infoblox SOC Insight CDC no workspace do Log Analytics usando o novo agente do Azure Monitor. Saiba mais sobre como ingerir usando o novo Agente do Azure Monitor aqui. A Microsoft recomenda usar esse Conector de Dados.

Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics CommonSecurityLog (InfobloxCDC_SOCInsights)
Suporte às regras de coleta de dados DCR de transformação do espaço de trabalho
Com suporte por Infoblox

Exemplos de consulta

Retornar todos os logs envolvendo túnel DNS

InfobloxCDC_SOCInsights

| where ThreatType == "DNS Tunneling"

Retornar todos os logs que envolvem um problema de configuração

InfobloxCDC_SOCInsights

| where ThreatClass == "TI-CONFIGURATIONISSUE"

Retornar todos os logs de alto nível de ameaça

InfobloxCDC_SOCInsights

| where ThreatLevel == "High"

Retornar os logs de status gerados

InfobloxCDC_SOCInsights

| where Status == "RAISED"

Retornar os logs envolvendo uma grande quantidade de acessos DNS desbloqueados

InfobloxCDC_SOCInsights

| where NotBlockedCount >= 100

Retornar cada Insight por ThreatFamily

InfobloxCDC_SOCInsights

| summarize dcount(InfobloxInsightID) by ThreatFamily

Pré-requisitos

Para integrar com o Infoblox SOC Insight Data Connector [Recomendado] por meio do AMA, verifique se você tem:

  • ****: para coletar dados de VMs que não são do Azure, elas precisam ter o Azure Arc instalado e habilitado. Saiba mais
  • ****: o CEF (Formato Comum de Evento) por meio do AMA e o Syslog por meio de conectores de dados do AMA devem ser instalados. Saiba mais

Instruções de instalação do fornecedor

Chaves do workspace

Para usar os guias estratégicos como parte desta solução, encontre seu ID do Workspace e Chave Primária do Workspace abaixo para sua conveniência.

Chave do espaço de trabalho

Analisadores

Esse conector de dados depende de um analisador baseado em uma Função do Kusto para funcionar conforme o esperado, chamado InfobloxCDC_SOCInsights, que é implantado com a Solução Microsoft Sentinel.

SOC Insights

Esse conector de dados pressupõe que você tenha acesso ao Infoblox BloxOne Threat Defense SOC Insights. Você pode encontrar mais informações sobre o SOC Insights aqui.

Infoblox Cloud Data Connector

Esse conector de dados pressupõe que um host do Infoblox Data Connector já foi criado e configurado no Portal de Serviços de Nuvem (CSP) do Infoblox. Como o Infoblox Data Connector é um recurso da Defesa contra Ameaças BloxOne, é necessário acesso a uma assinatura apropriada da Defesa contra Ameaças BloxOne. Confira este guia de início rápido para obter mais informações e requisitos de licenciamento.

  1. Proteja seu computador

Certifique-se de configurar a segurança do computador de acordo com a política de segurança da sua organização

Saiba mais >

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.