共用方式為

透過 REST API 的 Infoblox 資料連接器 (使用 Azure Functions) 連接器進行Microsoft Sentinel

  • 發行項

Infoblox 資料連接器可讓您輕鬆地將 Infoblox TIDE 數據和 Dossier 數據與 Microsoft Sentinel 連線。 藉由將數據連線到 Microsoft Sentinel,您可以利用每個記錄檔的搜尋與相互關聯、警示和威脅情報擴充。

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連接器屬性

連接器屬性 描述
記錄分析資料表 Failed_Range_To_Ingest_CL
Infoblox_Failed_Indicators_CL
dossier_whois_CL
dossier_tld_risk_CL
dossier_threat_actor_CL
dossier_rpz_feeds_records_CL
dossier_rpz_feeds_CL
dossier_nameserver_matches_CL
dossier_nameserver_CL
dossier_malware_analysis_v3_CL
dossier_inforank_CL
dossier_infoblox_web_cat_CL
dossier_geo_CL
dossier_dns_CL
dossier_atp_threat_CL
dossier_atp_CL
dossier_ptr_CL
資料收集規則支援 目前不支援
支援者: Infoblox

查詢範例

收到失敗的指標時間範圍

Failed_Range_To_Ingest_CL

| sort by TimeGenerated desc

失敗指標範圍數據

Infoblox_Failed_Indicators_CL

| sort by TimeGenerated desc

Dossier whois 數據源

dossier_whois_CL

| sort by TimeGenerated desc

Dossier tld 風險數據源

dossier_tld_risk_CL

| sort by TimeGenerated desc

Dossier 威脅執行者數據源

dossier_threat_actor_CL

| sort by TimeGenerated desc

Dossier rpz 摘要記錄數據源

dossier_rpz_feeds_records_CL

| sort by TimeGenerated desc

Dossier rpz 摘要數據源

dossier_rpz_feeds_CL

| sort by TimeGenerated desc

Dossier nameserver 符合數據源

dossier_nameserver_matches_CL

| sort by TimeGenerated desc

Dossier nameserver 數據源

dossier_nameserver_CL

| sort by TimeGenerated desc

檔惡意代碼分析 v3 數據源

dossier_malware_analysis_v3_CL

| sort by TimeGenerated desc

Dossier inforank 數據源

dossier_inforank_CL

| sort by TimeGenerated desc

Dossier infoblox Web cat 數據源

dossier_infoblox_web_cat_CL

| sort by TimeGenerated desc

Dossier 地理數據源

dossier_geo_CL

| sort by TimeGenerated desc

Dossier dns 數據源

dossier_dns_CL

| sort by TimeGenerated desc

Dossier atp 威脅數據源

dossier_atp_threat_CL

| sort by TimeGenerated desc

Dossier atp 數據源

dossier_atp_CL

| sort by TimeGenerated desc

Dossier ptr 數據源

dossier_ptr_CL

| sort by TimeGenerated desc

必要條件

若要透過 REST API 與 Infoblox Data Connector 整合(使用 Azure Functions)確定您有:

  • Azure 訂用帳戶:需要具有擁有者角色的 Azure 訂用帳戶,才能在 Microsoft Entra ID 中註冊應用程式,並將參與者角色指派給資源群組中的應用程式。
  • Microsoft.Web/網站權限:需要 Azure Functions 的讀寫權限才能建立函數應用程式。 請參閱文件以深入了解 Azure Functions
  • REST API 認證/許可權需要 Infoblox API 金鑰 。 請參閱文件以深入了解 Rest API 參照上的 API

廠商安裝指示

注意

此連接器會使用 Azure Functions 連線到 Infoblox API,以建立 TIDE 的威脅指標,並將 Dossier 數據提取至 sentinel Microsoft。 這可能會導致額外的資料擷取成本。 如需詳細資料,請參閱 Azure Functions 價格頁面

(選擇性步驟) 將工作區和 API 授權金鑰或權杖安全地儲存在 Azure Key Vault 中。 Azure Key Vault 提供儲存和擷取金鑰值的安全機制。 遵循這些指示來搭配使用 Azure Key Vault 與 Azure Function App。

步驟 1 - Microsoft Entra ID 中應用程式的應用程式註冊步驟

此整合需要在 Azure 入口網站中註冊應用程式。 請遵循本節中的步驟,在 Microsoft Entra ID 中建立新的應用程式:

  1. 登入 Azure 入口網站
  2. 搜尋並選取 Microsoft Entra ID
  3. 在 [管理] 底下,選取 [應用程式註冊] > [新增註冊]
  4. 輸入應用程式的顯示 [名稱]
  5. 選取 [註冊] 以完成伺服器初始註冊。
  6. 註冊完成時,Azure 入口網站會顯示應用程式註冊的 [概觀] 窗格。 您會看到應用程式 (用戶端) 識別碼租用戶識別碼。 執行 TriggersSync 劇本時需要用戶端識別碼和租用戶識別碼作為設定參數。

參考連結: /azure/active-directory/develop/quickstart-register-app

步驟 2 - 在 Microsoft Entra ID 中新增應用程式的用戶端密碼

有時稱為應用程式密碼,用戶密碼是執行 TriggersSync 劇本所需的字串值。 請遵循本節中的步驟來建立新的用戶端密碼:

  1. 在 Azure 入口網站的應用程式註冊中,選取您的應用程式。
  2. 選取 [憑證和祕密] > [用戶端密碼] > [新增用戶端密碼]
  3. 新增用戶端密碼的描述。
  4. 選取祕密的到期日,或指定自訂存留期。 上限為 24 個月。
  5. 選取 [新增]。
  6. 記錄祕密的值,以在用戶端應用程式程式碼中使用。 離開此頁面後,就「不會再次顯示」此祕密值。 執行 TriggersSync 劇本時需要密碼值作為設定參數。

參考連結: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret

步驟 3 - 將參與者的角色指派給 Microsoft Entra ID 中的應用程式

請遵循本節中的步驟來指派角色:

  1. 在 Azure 入口網站中,移至 [資源群組],然後選取您的資源群組。
  2. 前往左側面板中的 [存取控制 (IAM)]
  3. 按一下 [新增],然後選取 [新增角色指派]
  4. 選取 [參與者] 作為角色,然後按 [下一步]。
  5. 在 [存取權指派對象] 中,選取 User, group, or service principal
  6. 按一下 [新增成員],然後輸入您已建立的應用程式名稱並將其選取。
  7. 現在,按一下 [檢閱 + 指派],然後再按一下 [檢閱 + 指派]

參考連結: /azure/role-based-access-control/role-assignments-portal

步驟 4 - 產生 Infoblox API 認證的步驟

請遵循這些指示來產生 Infoblox API 金鑰。 在 Infoblox 雲端服務 入口網站中,產生 API 金鑰,並將它複製到安全的地方,以便在下一個步驟中使用。 您可以在這裡找到如何建立 API 金鑰的指示。

步驟 5 - 部署連接器和相關聯的 Azure 函式的步驟

重要事項: 在部署 Infoblox 數據連接器之前,請具備工作區標識碼和工作區主鍵(可複製自下列專案),以及 Infoblox API 授權認證。

Azure Resource Manager (ARM) 範本

使用此方法自動部署 Infoblox Data 連接器。

  1. 按一下下方的 [部署至 Azure] 按鈕。

    部署至 Azure

  2. 選取偏好的 [訂用帳戶]、[資源群組] 和 [位置]

  3. 輸入下列資訊:Azure 租使用者標識元 Azure 用戶端標識碼 Azure 用戶端秘密資訊blox API 令牌資訊blox 基底 URL 工作區標識符工作區密鑰記錄層級 (預設值:INFO) 信賴威脅等級 App Insights 工作區資源識別符

  4. 選取標示著 [我同意上述條款及條件] 的核取方塊。

  5. 按一下 [購買] 以部署。

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。