[建議]透過適用於 Sentinel Microsoft 的 AMA 連接器,透過 AMA 連接器來取得 Infoblox SOC Insight Data Connector
Infoblox SOC Insight Data Connector 可讓您輕鬆地將 Infoblox BloxOne SOC Insight 數據與 Microsoft Sentinel 連線。 將您的記錄連線到 Microsoft Sentinel,您即可利用每份記錄中提供的搜尋與相互關聯、警示和威脅情報擴充。
此數據連接器會使用新的 Azure 監視器代理程式,將 Infoblox SOC Insight CDC 記錄擷取到 Log Analytics 工作區。 在這裡深入瞭解如何使用新的 Azure 監視器代理程式擷取。 Microsoft建議使用此數據連接器。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 記錄分析資料表 | CommonSecurityLog (InfobloxCDC_SOCInsights) |
| 資料收集規則支援 | 工作區轉換 DCR |
| 支援者: | Infoblox |
查詢範例
傳回涉及 DNS 通道的所有記錄
InfobloxCDC_SOCInsights
| where ThreatType == "DNS Tunneling"
傳回所有涉及設定問題的記錄
InfobloxCDC_SOCInsights
| where ThreatClass == "TI-CONFIGURATIONISSUE"
傳回所有高威脅層級記錄
InfobloxCDC_SOCInsights
| where ThreatLevel == "High"
傳回引發的狀態記錄
InfobloxCDC_SOCInsights
| where Status == "RAISED"
傳回涉及大量未封鎖 DNS 點擊的記錄
InfobloxCDC_SOCInsights
| where NotBlockedCount >= 100
依 ThreatFamily 傳回每個深入解析
InfobloxCDC_SOCInsights
| summarize dcount(InfobloxInsightID) by ThreatFamily
必要條件
若要透過 AMA 與 [建議] Infoblox SOC Insight Data Connector 整合,請確定您有:
廠商安裝指示
工作區金鑰
若要使用劇本作為此解決方案的一部分,請在下方尋找您的 工作區標識碼 和 工作區主鍵 ,以方便您。
工作區金鑰
剖析器
此數據連接器相依於以 Kusto 函式為基礎的剖析器,以如預期般運作,稱為 「InfobloxCDC_SOCInsights」,該Microsoft Sentinel 解決方案所部署。
SOC 深入解析
此資料連接器假設您可以存取 Infoblox BloxOne 威脅防禦 SOC 深入解析。 您可以在這裡找到 SOC 深入解析的詳細資訊。
Infoblox Cloud Data Connector
此數據連接器假設已在 Infoblox 雲端服務 入口網站中建立及設定 Infoblox Data Connector 主機。 由於 Infoblox Data Connector 是 BloxOne 威脅防禦的一項功能,因此需要存取適當的 BloxOne 威脅防禦訂用帳戶。 如需詳細資訊和授權需求,請參閱此快速入門指南。
- 保護您的機器
請務必根據組織的安全性原則設定機器的安全性
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。