[Recomendado] Infoblox SOC Insight Data Connector via conector AMA para Microsoft Sentinel
O Infoblox SOC Insight Data Connector permite que você conecte facilmente seus dados do Infoblox BloxOne SOC Insight com o Microsoft Sentinel. Ao conectar seus logs ao Microsoft Sentinel, você pode aproveitar a correlação de pesquisa e alerta, alerta e enriquecimento de inteligência de ameaças para cada log.
Esse conector de dados ingere os logs do Infoblox SOC Insight CDC em seu espaço de trabalho do Log Analytics usando o novo Azure Monitor Agent. Saiba mais sobre como ingerir usando o novo Azure Monitor Agent aqui. A Microsoft recomenda o uso deste conector de dados.
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | CommonSecurityLog (InfobloxCDC_SOCInsights) |
| Suporte a regras de coleta de dados | Transformar DCR no espaço de trabalho |
| Apoiado por | Infoblox |
Exemplos de consulta
Retornar todos os logs que envolvem o túnel DNS
InfobloxCDC_SOCInsights
| where ThreatType == "DNS Tunneling"
Retornar todos os logs que envolvem um problema de configuração
InfobloxCDC_SOCInsights
| where ThreatClass == "TI-CONFIGURATIONISSUE"
Retornar todos os logs de alto nível de ameaça
InfobloxCDC_SOCInsights
| where ThreatLevel == "High"
Retornar logs de status gerados
InfobloxCDC_SOCInsights
| where Status == "RAISED"
Logs de retorno envolvendo uma grande quantidade de acessos DNS desbloqueados
InfobloxCDC_SOCInsights
| where NotBlockedCount >= 100
Devolver cada Insight por ThreatFamily
InfobloxCDC_SOCInsights
| summarize dcount(InfobloxInsightID) by ThreatFamily
Pré-requisitos
Para integrar com o [Recomendado] Infoblox SOC Insight Data Connector via AMA, certifique-se de:
- : Para coletar dados de VMs que não sejam do Azure, elas devem ter o Azure Arc instalado e habilitado. Mais informações
- : Common Event Format (CEF) via AMA e Syslog via conectores de dados AMA devem ser instalados. Mais informações
Instruções de instalação do fornecedor
Chaves do espaço de trabalho
Para usar os playbooks como parte dessa solução, encontre a ID do espaço de trabalho e a chave primária do espaço de trabalho abaixo para sua conveniência.
Chave do espaço de trabalho
Analisadores
Esse conector de dados depende de um analisador baseado em uma função Kusto para funcionar como esperado chamado InfobloxCDC_SOCInsights que é implantado com a solução Microsoft Sentinel.
SOC Insights
Este conector de dados pressupõe que você tenha acesso ao Infoblox BloxOne Threat Defense SOC Insights. Você pode encontrar mais informações sobre o SOC Insights aqui.
Infoblox Conector de dados na nuvem
Este conector de dados pressupõe que um host Infoblox Data Connector já foi criado e configurado no Infoblox Cloud Services Portal (CSP). Como o Infoblox Data Connector é um recurso do BloxOne Threat Defense, é necessário acesso a uma assinatura apropriada do BloxOne Threat Defense. Consulte este guia de início rápido para obter mais informações e requisitos de licenciamento.
- Proteja a sua máquina
Certifique-se de configurar a segurança da máquina de acordo com a política de segurança da sua organização
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.