Dela via

[Rekommenderas] Infoblox SOC Insight Data Connector via AMA-anslutningsprogrammet för Microsoft Sentinel

  • Artikel

Med Infoblox SOC Insight Data Connector kan du enkelt ansluta dina Infoblox BloxOne SOC Insight-data till Microsoft Sentinel. Genom att ansluta loggarna till Microsoft Sentinel kan du dra nytta av sök- och korrelations-, aviserings- och hotinformationsanrikning för varje logg.

Den här dataanslutningsappen matar in Infoblox SOC Insight CDC-loggar till Din Log Analytics-arbetsyta med hjälp av den nya Azure Monitor-agenten. Läs mer om att mata in med hjälp av den nya Azure Monitor-agenten här. Microsoft rekommenderar att du använder den här dataanslutningsappen.

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslutningsattribut

Anslutningsattribut beskrivning
Log Analytics-tabeller CommonSecurityLog (InfobloxCDC_SOCInsights)
Stöd för regler för datainsamling DcR för arbetsytetransformering
Stöds av Infoblox

Exempel på frågor

Returnera alla loggar som rör DNS-tunneltrafik

InfobloxCDC_SOCInsights

| where ThreatType == "DNS Tunneling"

Returnera alla loggar som rör ett konfigurationsproblem

InfobloxCDC_SOCInsights

| where ThreatClass == "TI-CONFIGURATIONISSUE"

Returnera alla loggar på hög hotnivå

InfobloxCDC_SOCInsights

| where ThreatLevel == "High"

Returnera upphöjda statusloggar

InfobloxCDC_SOCInsights

| where Status == "RAISED"

Returloggar med en hög mängd oblockerade DNS-träffar

InfobloxCDC_SOCInsights

| where NotBlockedCount >= 100

Returnera varje insikt efter ThreatFamily

InfobloxCDC_SOCInsights

| summarize dcount(InfobloxInsightID) by ThreatFamily

Förutsättningar

Om du vill integrera med [Recommended] Infoblox SOC Insight Data Connector via AMA kontrollerar du att du har:

  • : Om du vill samla in data från virtuella datorer som inte kommer från Azure måste de ha Azure Arc installerat och aktiverat. Läs mer
  • : Common Event Format (CEF) via AMA och Syslog via AMA-dataanslutningar måste installeras. Läs mer

Installationsanvisningar för leverantör

Arbetsytenycklar

För att kunna använda spelböckerna som en del av den här lösningen hittar du ditt arbetsyte-ID och primärnyckel för arbetsytan nedan för att underlätta för dig.

Arbetsytenyckel

Tolkar

Den här dataanslutningsappen är beroende av en parser som baseras på en Kusto-funktion för att fungera som förväntat med namnet InfobloxCDC_SOCInsights som distribueras med Microsoft Sentinel-lösningen.

SOC Insights

Den här dataanslutningsappen förutsätter att du har åtkomst till Infoblox BloxOne Threat Defense SOC Insights. Mer information om SOC Insights finns här.

Infoblox Cloud Data Connector

Den här dataanslutningen förutsätter att en Infoblox Data Connector-värd redan har skapats och konfigurerats i Infoblox Cloud Services-portalen (CSP). Eftersom Infoblox Data Connector är en funktion i BloxOne Threat Defense krävs åtkomst till en lämplig BloxOne Threat Defense-prenumeration. Mer information och licensieringskrav finns i den här snabbstartsguiden.

  1. Skydda datorn

Se till att konfigurera datorns säkerhet enligt organisationens säkerhetsprincip

Läs mer >

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.