你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
[推荐]适用于 Microsoft Sentinel 的使用 AMA 的 Infoblox 云数据连接器
利用 Infoblox Cloud Data 连接器,可以轻松将 Infoblox 数据与 Microsoft Sentinel 相连接。 通过将日志连接到 Microsoft Sentinel,可以针对每个日志使用搜索和关联、警报以及威胁情报扩充功能。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
连接器属性 | 说明 |
---|---|
Log Analytics 表 | CommonSecurityLog |
数据收集规则支持 | 工作区转换 DCR |
支持的服务 | Infoblox |
查询示例
返回所有 Block DNS 查询/响应日志
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
返回所有 DNS 查询/响应日志
CommonSecurityLog
| where DeviceEventClassID has_cs "DNS"
返回所有 DHCP 查询/响应日志
CommonSecurityLog
| where DeviceEventClassID has_cs "DHCP"
返回所有服务日志查询/响应日志
CommonSecurityLog
| where DeviceEventClassID has_cs "Service"
返回所有审核查询/响应日志
CommonSecurityLog
| where DeviceEventClassID has_cs "Audit"
返回所有类别筛选器安全事件日志
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| where AdditionalExtensions has_cs "InfobloxRPZ=CAT_"
返回所有应用程序筛选器安全事件日志
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| where AdditionalExtensions has_cs "InfobloxRPZ=APP_"
返回前 10 个 TD 域命中次数
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| summarize count() by DestinationDnsDomain
| top 10 by count_ desc
返回前 10 个 TD 源 IP 命中次数
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| summarize count() by SourceIP
| top 10 by count_ desc
返回最近创建的 DHCP 租约
CommonSecurityLog
| where DeviceEventClassID == "DHCP-LEASE-CREATE"
供应商安装说明
重要说明:此 Microsoft Sentinel 数据连接器假设已在 Infoblox 云服务门户 (CSP) 中创建并配置 Infoblox 数据连接器主机。 由于 Infoblox 数据连接器是威胁防御的一项功能,因此需要访问相应的 BloxOne 威胁防御订阅的权限。 有关详细信息和许可要求,请参阅此快速入门指南。
- Linux Syslog 代理配置
安装并配置 Linux 代理,以收集通用事件格式 (CEF) Syslog 消息,并将其转发到 Microsoft Sentinel。
请注意,来自所有区域的数据将存储在所选工作区中
1.1 选择或创建 Linux 计算机
选择或创建一个 Linux 计算机,Microsoft Sentinel 将使用该计算机作为安全解决方案和 Microsoft Sentinel 之间的代理。该计算机可以位于本地环境、Azure 或其他云中。
1.2 在 Linux 计算机上安装 CEF 收集器
在 Linux 计算机上安装 Microsoft Monitoring Agent,然后将计算机配置为侦听所需的端口并将消息转发到 Microsoft Sentinel 工作区。 该 CEF 收集器在端口 514 TCP 上收集 CEF 消息。
- 使用以下命令确保已在计算机上安装 Python:python -version。
- 你必须在计算机上拥有提升的权限 (sudo)。
运行以下命令安装并应用 CEF 收集器:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- 配置 Infoblox 以将 Syslog 数据发送到 Infoblox Cloud Data 连接器,再转发到 Syslog 代理
按照以下步骤配置 Infoblox CDC,以通过 Linux Syslog 代理将数据发送到 Microsoft Sentinel。
- 导航到“管理”>“数据连接器”。
- 单击顶部的“目标配置”选项卡。
- 单击“创建”>“Syslog”。
- 名称:为新目标指定一个有意义的名称,例如 Microsoft-Sentinel-Destination。
- 说明(可选):为新目标提供有意义的说明。
- 状态:将状态设置为“已启用”。
- 格式:将格式设置为“CEF”。
- FQDN/IP:输入安装 Linux 代理的 Linux 设备的 IP 地址。
- 端口:将端口号保留为 514。
- 协议:选择所需的协议和 CA 证书(如果适用)。
- 单击“保存并关闭”。
- 单击顶部的“流量流配置”选项卡。
- 单击“创建”。
- 名称:为新流量流指定一个有意义的名称,例如 Microsoft-Sentinel-Flow。
- 说明(可选):为新目标提供有意义的说明。
- 状态:将状态设置为“已启用”。
- 展开“服务实例”部分。
- 服务实例:选择为其启用了数据连接器服务的所需服务实例。
- 展开“源配置”部分。
- 源:选择“BloxOne 云源”。
- 选择要收集的所有所需日志类型。 目前支持的日志类型为:
- Threat Defense 查询/响应日志
- Threat Defense 威胁源命中日志
- DDI 查询/响应日志
- DDI DHCP 租用日志
- 展开“目标配置”部分。
- 选择刚刚创建的目标。
- 单击“保存并关闭”。
等待一段时间以激活配置。
验证连接
按照说明验证连接性:
打开 Log Analytics,检查是否使用 CommonSecurityLog 架构收到了日志。
连接将数据流式传输到工作区可能大约需要 20 分钟。
如果未收到日志,请运行以下连接验证脚本:
- 使用以下命令确保已在计算机上安装 Python:python -version
- 必须在计算机上拥有提升的权限 (sudo)
运行以下命令以验证连接:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- 保护计算机
确保根据组织的安全策略配置计算机的安全性
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。