你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
[推荐]适用于 Microsoft Sentinel 的使用 AMA 的 Infoblox SOC Insight 数据连接器
利用 Infoblox SOC Insight Data Connector,可以轻松地将 Infoblox BloxOne SOC Insight 数据与 Microsoft Sentinel 相连接。 通过将日志连接到 Microsoft Sentinel,可以针对每个日志使用搜索和关联、警报以及威胁情报扩充功能。
此数据连接器使用新的 Azure Monitor 代理将 Infoblox SOC Insight CDC 日志引入 Log Analytics 工作区。 在此处了解有关使用新 Azure Monitor 代理引入的详细信息。 Microsoft 建议使用此数据连接器。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
连接器属性 | 说明 |
---|---|
Log Analytics 表 | CommonSecurityLog (InfobloxCDC_SOCInsights) |
数据收集规则支持 | 工作区转换 DCR |
支持的服务 | Infoblox |
查询示例
返回所有涉及 DNS 隧道的日志
InfobloxCDC_SOCInsights
| where ThreatType == "DNS Tunneling"
返回所有涉及配置问题的日志
InfobloxCDC_SOCInsights
| where ThreatClass == "TI-CONFIGURATIONISSUE"
返回所有高威胁级别日志
InfobloxCDC_SOCInsights
| where ThreatLevel == "High"
返回引发的状态日志
InfobloxCDC_SOCInsights
| where Status == "RAISED"
返回涉及大量未阻止的 DNS 命中的日志
InfobloxCDC_SOCInsights
| where NotBlockedCount >= 100
按 ThreatFamily 返回每个见解
InfobloxCDC_SOCInsights
| summarize dcount(InfobloxInsightID) by ThreatFamily
先决条件
若要通过 AMA 与[推荐] Infoblox SOC Insight 数据连接器集成,请确保具备:
- ****:要从非 Azure VM 收集数据,必须安装并启用 Azure Arc。 了解详细信息
- ****:必须安装 Common Event Format (CEF) via AMA 和 Syslog via AMA 连接器。 了解详细信息
供应商安装说明
工作区密钥
为了将 playbook 用作此解决方案的一部分,请在下面找到你的“工作区 ID”和“工作区主密钥”,以方便使用。
工作区密钥
分析器
此数据连接器依赖于基于 Kusto 函数的分析程序按预期运行,该函数名为 InfobloxCDC_SOCInsights,与 Microsoft Sentinel 解决方案一起部署。
SOC Insights
此数据连接器假定你有权访问 Infoblox BloxOne Threat Defense SOC Insights。 可以在此处找到有关 SOC Insights 的更多信息。
Infoblox 云数据连接器
此 Sentinel 数据连接器假设已在 Infoblox 云服务门户 (CSP) 中创建并配置 Infoblox 云数据连接器主机。 由于 Infoblox 云数据连接器是 BloxOne 威胁防御的一项功能,因此需要访问相应的 BloxOne 威胁防御订阅的权限。 有关详细信息和许可要求,请参阅此快速入门指南。
- 保护计算机
确保根据组织的安全策略配置计算机的安全性
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。