Infoblox SOC Insights Data Connector через соединитель REST API для Microsoft Sentinel

Соединитель данных Infoblox SOC Insights позволяет легко подключать данные Infoblox BloxOne SOC Insights с помощью Microsoft Sentinel. Подключив журналы к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска и корреляции, оповещения и обогащения аналитики угроз для каждого журнала.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Примеры запросов

Возврат всех журналов, связанных с туннелированием DNS

InfobloxInsight_CL

| where threatType_s == "DNS Tunneling"

Возврат всех журналов, связанных с проблемой конфигурации

InfobloxInsight_CL

| where tClass_s == "TI-CONFIGURATIONISSUE"

Количество критически важных аналитических сведений о приоритете

InfobloxInsight_CL

| where priorityText_s == "CRITICAL"

| summarize dcount(insightId_g) by priorityText_s

Возвращает каждое распространение аналитических сведений по ThreatClass

InfobloxInsight_CL

| where isnotempty(spreadingDate_t)

| summarize dcount(insightId_g) by tClass_s

Возвращает каждое представление по ThreatFamily

InfobloxInsight_CL

| 
| summarize dcount(insightId_g) by tFamily_s

Инструкции по установке поставщика

Ключи рабочей области

Чтобы использовать сборники схем в рамках этого решения, найдите идентификатор рабочей области и первичный ключ рабочей области ниже для удобства.

Ключ рабочей области

Средства синтаксического анализа

Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом с именем InfobloxInsight , развернутой с помощью решения Microsoft Sentinel.

Аналитика SOC

Этот соединитель данных предполагает, что у вас есть доступ к Infoblox BloxOne Threat Defense SOC Insights. Дополнительные сведения о SOC Insights см. здесь.

Выполните приведенные ниже действия, чтобы настроить этот соединитель данных

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.