你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

[推荐]适用于 Microsoft Sentinel 的使用 AMA 的 Infoblox 云数据连接器

利用 Infoblox Cloud Data 连接器,可以轻松将 Infoblox 数据与 Microsoft Sentinel 相连接。 通过将日志连接到 Microsoft Sentinel,可以针对每个日志使用搜索和关联、警报以及威胁情报扩充功能。

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
Log Analytics 表 CommonSecurityLog
数据收集规则支持 工作区转换 DCR
支持的服务 Infoblox

查询示例

返回所有 Block DNS 查询/响应日志

CommonSecurityLog

| where DeviceEventClassID has_cs "RPZ"

返回所有 DNS 查询/响应日志

CommonSecurityLog

| where DeviceEventClassID has_cs "DNS"

返回所有 DHCP 查询/响应日志

CommonSecurityLog

| where DeviceEventClassID has_cs "DHCP"

返回所有服务日志查询/响应日志

CommonSecurityLog

| where DeviceEventClassID has_cs "Service"

返回所有审核查询/响应日志

CommonSecurityLog

| where DeviceEventClassID has_cs "Audit"

返回所有类别筛选器安全事件日志

CommonSecurityLog

| where DeviceEventClassID has_cs "RPZ"

| where AdditionalExtensions has_cs "InfobloxRPZ=CAT_"

返回所有应用程序筛选器安全事件日志

CommonSecurityLog

| where DeviceEventClassID has_cs "RPZ"

| where AdditionalExtensions has_cs "InfobloxRPZ=APP_"

返回前 10 个 TD 域命中次数

CommonSecurityLog

| where DeviceEventClassID has_cs "RPZ" 

| summarize count() by DestinationDnsDomain 

| top 10 by count_ desc

返回前 10 个 TD 源 IP 命中次数

CommonSecurityLog

| where DeviceEventClassID has_cs "RPZ" 

| summarize count() by SourceIP 

| top 10 by count_ desc

返回最近创建的 DHCP 租约

CommonSecurityLog

| where DeviceEventClassID == "DHCP-LEASE-CREATE"

供应商安装说明

重要说明:此 Microsoft Sentinel 数据连接器假设已在 Infoblox 云服务门户 (CSP) 中创建并配置 Infoblox 数据连接器主机。 由于 Infoblox 数据连接器是威胁防御的一项功能,因此需要访问相应的 BloxOne 威胁防御订阅的权限。 有关详细信息和许可要求,请参阅此快速入门指南

  1. Linux Syslog 代理配置

安装并配置 Linux 代理,以收集通用事件格式 (CEF) Syslog 消息,并将其转发到 Microsoft Sentinel。

请注意,来自所有区域的数据将存储在所选工作区中

1.1 选择或创建 Linux 计算机

选择或创建一个 Linux 计算机,Microsoft Sentinel 将使用该计算机作为安全解决方案和 Microsoft Sentinel 之间的代理。该计算机可以位于本地环境、Azure 或其他云中。

1.2 在 Linux 计算机上安装 CEF 收集器

在 Linux 计算机上安装 Microsoft Monitoring Agent,然后将计算机配置为侦听所需的端口并将消息转发到 Microsoft Sentinel 工作区。 该 CEF 收集器在端口 514 TCP 上收集 CEF 消息。

  1. 使用以下命令确保已在计算机上安装 Python:python -version。
  1. 你必须在计算机上拥有提升的权限 (sudo)。

运行以下命令安装并应用 CEF 收集器:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. 配置 Infoblox 以将 Syslog 数据发送到 Infoblox Cloud Data 连接器,再转发到 Syslog 代理

按照以下步骤配置 Infoblox CDC,以通过 Linux Syslog 代理将数据发送到 Microsoft Sentinel。

  1. 导航到“管理”>“数据连接器”。
  2. 单击顶部的“目标配置”选项卡。
  3. 单击“创建”>“Syslog”。
  • 名称:为新目标指定一个有意义的名称,例如 Microsoft-Sentinel-Destination。
  • 说明(可选):为新目标提供有意义的说明。
  • 状态:将状态设置为“已启用”。
  • 格式:将格式设置为“CEF”。
  • FQDN/IP:输入安装 Linux 代理的 Linux 设备的 IP 地址。
  • 端口:将端口号保留为 514。
  • 协议:选择所需的协议和 CA 证书(如果适用)。
  • 单击“保存并关闭”
  1. 单击顶部的“流量流配置”选项卡。
  2. 单击“创建”。
  • 名称:为新流量流指定一个有意义的名称,例如 Microsoft-Sentinel-Flow。
  • 说明(可选):为新目标提供有意义的说明。
  • 状态:将状态设置为“已启用”。
  • 展开“服务实例”部分。
    • 服务实例:选择为其启用了数据连接器服务的所需服务实例
  • 展开“源配置”部分。
    • 源:选择“BloxOne 云源”。
    • 选择要收集的所有所需日志类型。 目前支持的日志类型为:
      • Threat Defense 查询/响应日志
      • Threat Defense 威胁源命中日志
      • DDI 查询/响应日志
      • DDI DHCP 租用日志
  • 展开“目标配置”部分。
    • 选择刚刚创建的目标。
  • 单击“保存并关闭”
  1. 等待一段时间以激活配置。

  2. 验证连接

按照说明验证连接性:

打开 Log Analytics,检查是否使用 CommonSecurityLog 架构收到了日志。

连接将数据流式传输到工作区可能大约需要 20 分钟。

如果未收到日志,请运行以下连接验证脚本:

  1. 使用以下命令确保已在计算机上安装 Python:python -version
  1. 必须在计算机上拥有提升的权限 (sudo)

运行以下命令以验证连接:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. 保护计算机

确保根据组织的安全策略配置计算机的安全性

了解详细信息>

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案