Поделиться через

Соединитель данных Infoblox через REST API (с помощью Функции Azure) соединителя Microsoft Sentinel

  • Статья

Соединитель данных Infoblox позволяет легко подключать данные TIDE Infoblox и Dossier к Microsoft Sentinel. Подключив данные к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска и корреляции, оповещений и обогащения аналитики угроз для каждого журнала.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Таблицы Log Analytics Failed_Range_To_Ingest_CL
Infoblox_Failed_Indicators_CL
dossier_whois_CL
dossier_tld_risk_CL
dossier_threat_actor_CL
dossier_rpz_feeds_records_CL
dossier_rpz_feeds_CL
dossier_nameserver_matches_CL
dossier_nameserver_CL
dossier_malware_analysis_v3_CL
dossier_inforank_CL
dossier_infoblox_web_cat_CL
dossier_geo_CL
dossier_dns_CL
dossier_atp_threat_CL
dossier_atp_CL
dossier_ptr_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Infoblox

Примеры запросов

Не удалось получить диапазон времени индикатора

Failed_Range_To_Ingest_CL

| sort by TimeGenerated desc

Данные диапазона индикаторов сбоем

Infoblox_Failed_Indicators_CL

| sort by TimeGenerated desc

Источник данных Dossier whois

dossier_whois_CL

| sort by TimeGenerated desc

Источник данных риска dossier tld

dossier_tld_risk_CL

| sort by TimeGenerated desc

Источник данных субъекта угроз Dossier

dossier_threat_actor_CL

| sort by TimeGenerated desc

Dossier rpz feeds записывает источник данных

dossier_rpz_feeds_records_CL

| sort by TimeGenerated desc

Источник данных Dossier rpz

dossier_rpz_feeds_CL

| sort by TimeGenerated desc

Dossier nameserver соответствует источнику данных

dossier_nameserver_matches_CL

| sort by TimeGenerated desc

Источник данных dossier nameserver

dossier_nameserver_CL

| sort by TimeGenerated desc

Источник данных Dossier для анализа вредоносных программ версии 3

dossier_malware_analysis_v3_CL

| sort by TimeGenerated desc

Источник данных dossier inforank

dossier_inforank_CL

| sort by TimeGenerated desc

Источник данных веб-кота Dossier infoblox

dossier_infoblox_web_cat_CL

| sort by TimeGenerated desc

Источник геоданных Dossier

dossier_geo_CL

| sort by TimeGenerated desc

Источник данных Dns Dossier

dossier_dns_CL

| sort by TimeGenerated desc

Источник данных о угрозах atp dossier atp

dossier_atp_threat_CL

| sort by TimeGenerated desc

Источник данных Dossier atp

dossier_atp_CL

| sort by TimeGenerated desc

Источник данных Dossier ptr

dossier_ptr_CL

| sort by TimeGenerated desc

Необходимые компоненты

Чтобы интегрироваться с Соединителем данных Infoblox с помощью REST API (с помощью Функции Azure), убедитесь, что у вас есть:

  • Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в идентификаторе Microsoft Entra и назначения роли участника приложению в группе ресурсов.
  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
  • Учетные данные и разрешения REST API: требуется ключ API Infoblox. Дополнительные сведения об API см. в документации по справочнику по REST API

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к API Infoblox для создания индикаторов угроз для TIDE и извлечения данных Dossier в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

ШАГ 1. Шаги регистрации приложений для приложения в идентификаторе Microsoft Entra

Для этой интеграции требуется регистрация приложения в портал Azure. Выполните действия, описанные в этом разделе, чтобы создать новое приложение в идентификаторе Microsoft Entra ID:

  1. Войдите на портал Azure.
  2. Найдите и выберите Microsoft Entra ID.
  3. В разделе "Управление" выберите Регистрация приложений > Создать регистрацию.
  4. Введите отображаемое имя приложения.
  5. Для завершения исходной регистрации приложения нажмите кнопку Зарегистрировать.
  6. После завершения регистрации на портале Azure отображается область Общие сведения для регистрации приложения. Вы увидите идентификатор приложения (клиента) и идентификатор клиента. Идентификатор клиента и идентификатор клиента требуются в качестве параметров конфигурации для выполнения сборника схем TriggersSync.

Справочная ссылка: /azure/active-directory/develop/quickstart-register-app

ШАГ 2. Добавление секрета клиента для приложения в идентификатор Microsoft Entra

Иногда называется паролем приложения, секрет клиента — это строковое значение, необходимое для выполнения сборника схем TriggersSync. Выполните действия, описанные в этом разделе, чтобы создать новый секрет клиента:

  1. Выберите приложение в разделе Регистрация приложений на портале Azure.
  2. Выберите сертификаты и секреты > > секретов клиента New client secret.
  3. Добавьте описание секрета клиента.
  4. Выберите срок действия секрета или укажите настраиваемое время существования. Ограничение составляет 24 месяца.
  5. Выберите Добавить.
  6. Запишите значение секрета, чтобы затем использовать его в коде клиентского приложения. Это значение секрета больше нигде не отображается после закрытия страницы. Значение секрета требуется в качестве параметра конфигурации для выполнения сборника схем TriggersSync.

Справочная ссылка: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ШАГ 3. Назначение роли участника приложению в идентификаторе Microsoft Entra

Выполните действия, описанные в этом разделе, чтобы назначить роль:

  1. В портал Azure перейдите в группу ресурсов и выберите свою группу ресурсов.
  2. Перейдите к элементу управления доступом (IAM) на левой панели.
  3. Нажмите кнопку "Добавить", а затем выберите "Добавить назначение роли".
  4. Выберите участника в качестве роли и нажмите кнопку "Далее".
  5. В поле "Назначить доступ" выберите User, group, or service principal.
  6. Щелкните добавить участников и введите имя созданного приложения и выберите его.
  7. Теперь нажмите кнопку "Рецензирование" и "Назначить " и снова нажмите кнопку "Рецензирование" и " Назначить".

Ссылка на ссылку: /azure/role-based-access-control/role-assignments-portal

ШАГ 4. Действия по созданию учетных данных API Infoblox

Следуйте этим инструкциям, чтобы создать ключ API Infoblox. На портале Infoblox Облачные службы создайте ключ API и скопируйте его где-то безопасно, чтобы использовать на следующем шаге. Инструкции по созданию ключей API см. здесь.

ШАГ 5. Действия по развертыванию соединителя и связанной функции Azure

ВАЖНО. Перед развертыванием соединителя данных Infoblox укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего) легко доступны.., а также учетные данные авторизации API Infoblox

Шаблон Azure Resource Manager (ARM)

Используйте этот метод для автоматического развертывания соединителя Данных Infoblox.

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в Azure

  2. Выберите предпочтительную подписку, группу ресурсов и расположение.

  3. Введите приведенные ниже сведения: идентификатор клиента Azure Id Azure Client Id Azure Secret Infoblox API Token Infoblox Base URL Workspace ID Log Level (Default: INFO) Data Threat Level App Insights Workspace Resource Id

  4. Пометьте флажок, помеченный как я согласен с условиями, указанными выше.

  5. Нажмите кнопку " Купить" , чтобы развернуть.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.