[建議]透過適用於 Sentinel Microsoft AMA 連接器的 Infoblox Cloud Data Connector
Infoblox Cloud Data Connector 可讓您輕鬆地將 Infoblox 數據與 sentinel Microsoft連線。 將您的記錄連線到 Microsoft Sentinel,您即可利用每份記錄中提供的搜尋與相互關聯、警示和威脅情報擴充。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 記錄分析資料表 | CommonSecurityLog |
| 資料收集規則支援 | 工作區轉換 DCR |
| 支援者: | Infoblox |
查詢範例
傳回所有封鎖 DNS 查詢/回應記錄
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
傳回所有 DNS 查詢/回應記錄
CommonSecurityLog
| where DeviceEventClassID has_cs "DNS"
傳回所有 DHCP 查詢/回應記錄
CommonSecurityLog
| where DeviceEventClassID has_cs "DHCP"
傳回所有服務記錄查詢/回應記錄
CommonSecurityLog
| where DeviceEventClassID has_cs "Service"
傳回所有稽核查詢/回應記錄
CommonSecurityLog
| where DeviceEventClassID has_cs "Audit"
傳回所有類別篩選安全性事件記錄
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| where AdditionalExtensions has_cs "InfobloxRPZ=CAT_"
傳回所有應用程式篩選安全性事件記錄
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| where AdditionalExtensions has_cs "InfobloxRPZ=APP_"
傳回前 10 大 TD 網域命中計數
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| summarize count() by DestinationDnsDomain
| top 10 by count_ desc
傳回前 10 大 TD 來源 IP 命中計數
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| summarize count() by SourceIP
| top 10 by count_ desc
傳回最近建立的 DHCP 租用
CommonSecurityLog
| where DeviceEventClassID == "DHCP-LEASE-CREATE"
廠商安裝指示
重要事項:此Microsoft Sentinel 數據連接器假設已在 Infoblox 雲端服務 入口網站中建立及設定 Infoblox 數據連接器主機。 由於 Infoblox Data Connector 是威脅防禦的一項功能,因此需要存取適當的威脅防禦訂用帳戶。 如需詳細資訊和授權需求,請參閱此快速入門指南。
- Linux Syslog 代理程式設定
安裝並設定 Linux 代理程式,以收集常見事件格式 (CEF) 的 Syslog 訊息,然後將這些訊息轉送至 Microsoft Sentinel。
請注意,所有區域的資料皆會儲存在選取的工作區中
1.1 選取或建立 Linux 電腦
選取或建立 Linux 機器,Microsoft Sentinel 將使用此機器作為安全性解決方案與 Microsoft Sentinel 之間的 Proxy。此機器可以在內部部署環境、Azure 或其他雲端中。
1.2 在 Linux 電腦上安裝 CEF 收集器
在 Linux 機器上安裝 Microsoft Monitoring Agent,並將該機器設定為在必要的連接埠上接聽訊息,然後將這些訊息轉送至 Microsoft Sentinel 工作區。 CEF 收集器會在連接埠 514 TCP 上收集 CEF 訊息。
- 請使用下列命令 python -version,確定機器上有 Python。
- 您在機器上必須具有更高的權限 (sudo)。
請執行下列命令安裝及套用 CEF 收集器:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- 設定 Infoblox 將 Syslog 數據傳送至 Infoblox Cloud Data Connector,以轉送至 Syslog 代理程式
請遵循下列步驟來設定 Infoblox CDC,以透過 Linux Syslog 代理程式將數據傳送至 Microsoft Sentinel。
- 瀏覽至 [管理] > [資料連接器]。
- 按一下頂端的 [目的地組態] 索引標籤。
- 按一下 [建立] > [Syslog]。
- 名稱:為新的目的地指定有意義的名稱,例如 Microsoft-Sentinel-Destination。
- 描述:選擇性地為其提供有意義的描述。
- 狀態:將狀態設定為 [已啟用]。
- 格式:將格式設定為 [CEF]。
- FQDN/IP:輸入安裝 Linux 代理程式的 Linux 裝置 IP 位址。
- 連接埠:將連接埠號碼保留為 514。
- 通訊協定:如果適用,請選取所需的通訊協定和 CA 憑證。
- 按一下 [儲存並關閉]。
- 按一下頂端的 [流量組態] 索引標籤。
- 按一下 [建立]。
- 名稱:為新的流量提供有意義的名稱,例如 Microsoft-Sentinel-Flow。
- 描述:選擇性地為其提供有意義的描述。
- 狀態:將狀態設定為 [已啟用]。
- 展開 [ 服務實例] 區段。
- 服務實例:選取已啟用數據連接器服務所需的服務實例。
- 展開 [來源組態] 區段。
- 來源:選取 [BloxOne 雲端來源]。
- 選取您要收集的所有所需記錄類型。 目前支援的記錄類型如下:
- 威脅防禦查詢/回應記錄
- 威脅防禦威脅摘要命中記錄
- DDI 查詢/回應記錄
- DDI DHCP 租用記錄
- 展開 [目的地組態] 區段。
- 選取您剛才建立的 [目的地]。
- 按一下 [儲存並關閉]。
允取組態有些時間來啟用。
驗證連線
請遵循指示以驗證連線能力:
開啟 Log Analytics,檢查是否使用 CommonSecurityLog 結構描述接收記錄。
連線將資料串流至工作區可能需要大約 20 分鐘的時間。
如果未收到記錄,請執行下列連線能力驗證指令碼:
- 請使用下列命令 python -version,確定您的機器上有 Python
- 您的機器上必須具有更高的權限 (sudo)
請執行下列命令驗證連線能力:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- 保護您的機器
請務必根據組織的安全性原則設定機器的安全性
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。