[Rekommenderas] Infoblox Cloud Data Connector via AMA-anslutningsprogrammet för Microsoft Sentinel
Med Infoblox Cloud Data Connector kan du enkelt ansluta dina Infoblox-data till Microsoft Sentinel. Genom att ansluta loggarna till Microsoft Sentinel kan du dra nytta av sök- och korrelations-, aviserings- och hotinformationsanrikning för varje logg.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslutningsattribut
| Anslutningsattribut | beskrivning |
|---|---|
| Log Analytics-tabeller | CommonSecurityLog |
| Stöd för regler för datainsamling | DcR för arbetsytetransformering |
| Stöds av | Infoblox |
Exempel på frågor
Returnera alla block-DNS-fråge-/svarsloggar
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
Returnera alla DNS-fråge-/svarsloggar
CommonSecurityLog
| where DeviceEventClassID has_cs "DNS"
Returnera alla DHCP-fråge-/svarsloggar
CommonSecurityLog
| where DeviceEventClassID has_cs "DHCP"
Returnera alla fråge-/svarsloggar för tjänstloggar
CommonSecurityLog
| where DeviceEventClassID has_cs "Service"
Returnera alla granskningsfråge-/svarsloggar
CommonSecurityLog
| where DeviceEventClassID has_cs "Audit"
Returnera alla loggar för kategorifiltersäkerhetshändelser
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| where AdditionalExtensions has_cs "InfobloxRPZ=CAT_"
Returnera alla loggar för programfiltersäkerhetshändelser
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| where AdditionalExtensions has_cs "InfobloxRPZ=APP_"
Returnera topp 10 TD-domäner
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| summarize count() by DestinationDnsDomain
| top 10 by count_ desc
Returnera topp 10 TD-käll-IP:er
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| summarize count() by SourceIP
| top 10 by count_ desc
Returnera nyligen skapade DHCP-lån
CommonSecurityLog
| where DeviceEventClassID == "DHCP-LEASE-CREATE"
Installationsanvisningar för leverantör
VIKTIGT! Den här Microsoft Sentinel-dataanslutningen förutsätter att en Infoblox Data Connector-värd redan har skapats och konfigurerats i Infoblox Cloud Services-portalen (CSP). Eftersom Infoblox Data Connector är en funktion i Threat Defense krävs åtkomst till en lämplig Threat Defense-prenumeration. Mer information och licensieringskrav finns i den här snabbstartsguiden.
- Konfiguration av Linux Syslog-agent
Installera och konfigurera Linux-agenten för att samla in dina Common Event Format-syslog-meddelanden (CEF) och vidarebefordra dem till Microsoft Sentinel.
Observera att data från alla regioner lagras på den valda arbetsytan
1.1 Välj eller skapa en Linux-dator
Välj eller skapa en Linux-dator som Microsoft Sentinel ska använda som proxy mellan din säkerhetslösning och Microsoft Sentinel den här datorn kan finnas i din lokala miljö, Azure eller andra moln.
1.2 Installera CEF-insamlaren på Linux-datorn
Installera Microsoft Monitoring Agent på din Linux-dator och konfigurera datorn så att den lyssnar på den nödvändiga porten och vidarebefordrar meddelanden till din Microsoft Sentinel-arbetsyta. CEF-insamlaren samlar in CEF-meddelanden på port 514 TCP.
- Kontrollera att du har Python på datorn med följande kommando: python -version.
- Du måste ha utökade behörigheter (sudo) på datorn.
Kör följande kommando för att installera och tillämpa CEF-insamlaren:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Konfigurera Infoblox för att skicka Syslog-data till Infoblox Cloud Data Connector för vidarebefordran till Syslog-agenten
Följ stegen nedan för att konfigurera Infoblox CDC för att skicka data till Microsoft Sentinel via Linux Syslog-agenten.
- Gå till Hantera > dataanslutningsprogram.
- Klicka på fliken Målkonfiguration överst.
- Klicka på Skapa > Syslog.
- Namn: Ge det nya målet ett meningsfullt namn, till exempel Microsoft-Sentinel-Destination.
- Beskrivning: Om du vill kan du ge den en beskrivande beskrivning.
- Tillstånd: Ange tillståndet till Aktiverad.
- Format: Ange formatet till CEF.
- FQDN/IP: Ange IP-adressen för den Linux-enhet där Linux-agenten är installerad.
- Port: Låt portnumret vara 514.
- Protokoll: Välj önskat protokoll och CA-certifikat om det är tillämpligt.
- Klicka på Save & Close (Spara och stäng).
- Klicka på fliken Konfiguration av trafikflöde överst.
- Klicka på Skapa.
- Namn: Ge det nya trafikflödet ett beskrivande namn, till exempel Microsoft-Sentinel-Flow.
- Beskrivning: Om du vill kan du ge den en beskrivande beskrivning.
- Tillstånd: Ange tillståndet till Aktiverad.
- Expandera avsnittet Tjänstinstans .
- Tjänstinstans: Välj önskad tjänstinstans som dataanslutningstjänsten är aktiverad för.
- Expandera avsnittet Källkonfiguration .
- Källa: Välj BloxOne-molnkälla.
- Välj alla önskade loggtyper som du vill samla in. Loggtyper som stöds för närvarande är:
- Fråge-/svarslogg för hotskydd
- Hotskyddsflöden träffar loggen
- DDI-fråge-/svarslogg
- DDI DHCP-lånelogg
- Expandera avsnittet Målkonfiguration .
- Välj det mål som du nyss skapade.
- Klicka på Save & Close (Spara och stäng).
Tillåt konfigurationen en stund att aktivera.
Verifiera anslutningen
Följ anvisningarna för att verifiera anslutningen:
Öppna Log Analytics för att kontrollera om loggarna tas emot med hjälp av CommonSecurityLog-schemat.
Det kan ta cirka 20 minuter innan anslutningen strömmar data till din arbetsyta.
Om loggarna inte tas emot kör du följande anslutningsverifieringsskript:
- Kontrollera att du har Python på datorn med följande kommando: python -version
- Du måste ha utökade behörigheter (sudo) på datorn
Kör följande kommando för att verifiera anslutningen:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Skydda datorn
Se till att konfigurera datorns säkerhet enligt organisationens säkerhetsprincip
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.