Dela via

Infoblox Data Connector via REST API-anslutningsprogram (med Azure Functions) för Microsoft Sentinel

  • Artikel

Med Infoblox Data Connector kan du enkelt ansluta dina Infoblox TIDE-data och dossierdata till Microsoft Sentinel. Genom att ansluta dina data till Microsoft Sentinel kan du dra nytta av sök- och korrelations-, aviserings- och hotinformationsanrikning för varje logg.

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslutningsattribut

Anslutningsattribut beskrivning
Log Analytics-tabeller Failed_Range_To_Ingest_CL
Infoblox_Failed_Indicators_CL
dossier_whois_CL
dossier_tld_risk_CL
dossier_threat_actor_CL
dossier_rpz_feeds_records_CL
dossier_rpz_feeds_CL
dossier_nameserver_matches_CL
dossier_nameserver_CL
dossier_malware_analysis_v3_CL
dossier_inforank_CL
dossier_infoblox_web_cat_CL
dossier_geo_CL
dossier_dns_CL
dossier_atp_threat_CL
dossier_atp_CL
dossier_ptr_CL
Stöd för regler för datainsamling Stöds för närvarande inte
Stöds av Infoblox

Exempel på frågor

Tidsintervall för misslyckad indikator togs emot

Failed_Range_To_Ingest_CL

| sort by TimeGenerated desc

Intervalldata för misslyckade indikatorer

Infoblox_Failed_Indicators_CL

| sort by TimeGenerated desc

Dossier whois data source

dossier_whois_CL

| sort by TimeGenerated desc

Datakälla för dossier tld-risk

dossier_tld_risk_CL

| sort by TimeGenerated desc

Datakälla för ärendehotsskådespelare

dossier_threat_actor_CL

| sort by TimeGenerated desc

Dossier rpz matar in datakälla

dossier_rpz_feeds_records_CL

| sort by TimeGenerated desc

Dossier rpz matar datakälla

dossier_rpz_feeds_CL

| sort by TimeGenerated desc

Namnserver för dokumentation matchar datakällan

dossier_nameserver_matches_CL

| sort by TimeGenerated desc

Datakälla för namnserver för dokumentation

dossier_nameserver_CL

| sort by TimeGenerated desc

Analys av skadlig kod för dokumentation v3-datakälla

dossier_malware_analysis_v3_CL

| sort by TimeGenerated desc

Inforank-datakälla för dokumentation

dossier_inforank_CL

| sort by TimeGenerated desc

Infoblox-datakälla för infoblox-webbkatt

dossier_infoblox_web_cat_CL

| sort by TimeGenerated desc

Geodatakälla för dokumentation

dossier_geo_CL

| sort by TimeGenerated desc

Dns-datakälla för dokumentation

dossier_dns_CL

| sort by TimeGenerated desc

Dossier atp threat data source

dossier_atp_threat_CL

| sort by TimeGenerated desc

Dossier atp-datakälla

dossier_atp_CL

| sort by TimeGenerated desc

Ptr-datakälla för underlag

dossier_ptr_CL

| sort by TimeGenerated desc

Förutsättningar

Om du vill integrera med Infoblox Data Connector via REST API (med Hjälp av Azure Functions) kontrollerar du att du har:

  • Azure-prenumeration: Azure-prenumeration med ägarroll krävs för att registrera ett program i Microsoft Entra-ID och tilldela rollen deltagare till appen i resursgruppen.
  • Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.
  • Autentiseringsuppgifter/behörigheter för REST API: Infoblox API-nyckel krävs. Mer information om API i rest-API-referensen finns i dokumentationen

Installationsanvisningar för leverantör

Kommentar

Den här anslutningsappen använder Azure Functions för att ansluta till Infoblox-API:et för att skapa hotindikatorer för TIDE och hämta dokumentationsdata till Microsoft Sentinel. Detta kan leda till ytterligare kostnader för datainmatning. Mer information finns på prissättningssidan för Azure Functions.

(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna för att använda Azure Key Vault med en Azure-funktionsapp.

STEG 1 – Steg för appregistrering för programmet i Microsoft Entra-ID

Den här integreringen kräver en appregistrering i Azure Portal. Följ stegen i det här avsnittet för att skapa ett nytt program i Microsoft Entra-ID:

  1. Logga in på Azure-portalen.
  2. Sök efter och markera Microsoft Entra ID.
  3. Under Hantera väljer du Appregistreringar > Ny registrering.
  4. Ange ett visningsnamn för programmet.
  5. Välj Registrera för att slutföra den första appregistreringen.
  6. När registreringen är klar visar Azure Portal appregistreringens översiktsfönster. Du ser program-ID :t (klient)-ID:t och klient-ID:t. Klient-ID och klient-ID krävs som konfigurationsparametrar för körningen av TriggersSync-spelboken.

Referenslänk: /azure/active-directory/develop/quickstart-register-app

STEG 2 – Lägga till en klienthemlighet för program i Microsoft Entra-ID

Ibland kallas ett programlösenord, en klienthemlighet är ett strängvärde som krävs för körningen av TriggersSync-spelboken. Följ stegen i det här avsnittet för att skapa en ny klienthemlighet:

  1. I Azure Portal i Appregistreringar väljer du ditt program.
  2. Välj Certifikat och hemligheter > Klienthemligheter > Ny klienthemlighet.
  3. Lägg till en beskrivning för din klienthemlighet.
  4. Välj en förfallotidpunkt för hemligheten eller ange en anpassad livslängd. Gränsen är 24 månader.
  5. Markera Lägga till.
  6. Registrera hemlighetens värde för användning i klientprogramkoden. Hemlighetens värde visas aldrig igen när du har lämnat den här sidan. Det hemliga värdet krävs som konfigurationsparameter för körningen av TriggersSync-spelboken.

Referenslänk: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret

STEG 3 – Tilldela rollen deltagare till program i Microsoft Entra-ID

Följ stegen i det här avsnittet för att tilldela rollen:

  1. I Azure Portal går du till Resursgrupp och väljer din resursgrupp.
  2. Gå till Åtkomstkontroll (IAM) från den vänstra panelen.
  3. Klicka på Lägg till och välj sedan Lägg till rolltilldelning.
  4. Välj Deltagare som roll och klicka på nästa.
  5. I Tilldela åtkomst till väljer du User, group, or service principal.
  6. Klicka på Lägg till medlemmar och skriv ditt appnamn som du har skapat och välj det.
  7. Klicka nu på Granska + tilldela och klicka sedan igen på Granska + tilldela.

Referenslänk: /azure/role-based-access-control/role-assignments-portal

STEG 4 – Steg för att generera Infoblox API-autentiseringsuppgifter

Följ dessa instruktioner för att generera Infoblox API-nyckel. I Infoblox Cloud Services-portalen genererar du en API-nyckel och kopierar den någonstans säkert att använda i nästa steg. Du hittar instruktioner om hur du skapar API-nycklar här.

STEG 5 – Steg för att distribuera anslutningsappen och den associerade Azure-funktionen

VIKTIGT: Innan du distribuerar Infoblox-dataanslutningen måste du ha arbetsyte-ID:t och arbetsytans primärnyckel (kan kopieras från följande) lättillgängliga.., samt autentiseringsuppgifterna för Infoblox API-auktorisering

Mall för Azure Resource Manager (ARM)

Använd den här metoden för automatisk distribution av Infoblox Data-anslutningsappen.

  1. Klicka på knappen Distribuera till Azure nedan.

    Distribuera till Azure

  2. Välj önskad prenumeration, resursgrupp och plats.

  3. Ange följande information: Azure Tenant ID Azure Client ID Azure Client Secret Infoblox API Token Infoblox Base URL Workspace ID Workspace Key Log Level (Standard: INFO) Confidence Threat Level App Insights Workspace Resource ID

  4. Markera kryssrutan märkt Jag godkänner de villkor som anges ovan.

  5. Klicka på Köp för att distribuera.

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.