[Рекомендуется] Infoblox Cloud Data Connector через соединитель AMA для Microsoft Sentinel
Соединитель облачных данных Infoblox позволяет легко подключать данные Infoblox к Microsoft Sentinel. Подключив журналы к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска и корреляции, оповещения и обогащения аналитики угроз для каждого журнала.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | CommonSecurityLog |
| Поддержка правил сбора данных | Преобразование DCR рабочей области |
| Поддерживается | Infoblox |
Примеры запросов
Возврат всех журналов запросов и ответов блокировки DNS
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
Возврат всех журналов запросов и ответов DNS
CommonSecurityLog
| where DeviceEventClassID has_cs "DNS"
Возврат всех журналов запросов и ответов DHCP
CommonSecurityLog
| where DeviceEventClassID has_cs "DHCP"
Возврат всех журналов службы запросов и ответов
CommonSecurityLog
| where DeviceEventClassID has_cs "Service"
Возврат всех журналов запросов и ответов аудита
CommonSecurityLog
| where DeviceEventClassID has_cs "Audit"
Возврат всех журналов событий безопасности фильтров категорий
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| where AdditionalExtensions has_cs "InfobloxRPZ=CAT_"
Возврат всех журналов событий безопасности фильтров приложений
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| where AdditionalExtensions has_cs "InfobloxRPZ=APP_"
Возврат числа попаданий в первые 10 доменов TD
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| summarize count() by DestinationDnsDomain
| top 10 by count_ desc
Возвращает первое число ip-адресов источника TD
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| summarize count() by SourceIP
| top 10 by count_ desc
Возврат недавно созданных аренд DHCP
CommonSecurityLog
| where DeviceEventClassID == "DHCP-LEASE-CREATE"
Инструкции по установке поставщика
ВАЖНО. Этот соединитель данных Microsoft Sentinel предполагает, что узел соединителя данных Infoblox уже создан и настроен на портале Infoblox Облачные службы (CSP). Так как соединитель данных Infoblox является функцией защиты от угроз, требуется доступ к соответствующей подписке Threat Defense. Дополнительные сведения и требования к лицензированию см. в этом кратком руководстве .
- Конфигурация агента Syslog Linux
Установите и настройте агент Linux, чтобы собирать сообщения системного журнала общего формата событий (CEF) и пересылать их в Microsoft Sentinel.
Обратите внимание, что в выбранной рабочей области будут храниться данные из всех регионов
1.1 Выбор или создание компьютера с Linux
Выберите или создайте компьютер Linux, который Microsoft Sentinel будет использовать в качестве прокси-сервера между решением безопасности и Microsoft Sentinel, который может находиться в локальной среде, Azure или других облаках.
1.2 Установка сборщика CEF на компьютере с Linux
Установите microsoft Monitoring Agent на компьютере Linux и настройте компьютер для прослушивания необходимого порта и пересылки сообщений в рабочую область Microsoft Sentinel. Сборщик CEF собирает сообщения CEF, передаваемые через TCP-порт 514.
- Убедитесь, что на компьютере установлен Python, выполнив следующую команду: python -version.
- Вы должны обладать повышенными правами (sudo) на компьютере.
Выполните следующую команду, чтобы установить и применить сборщик CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Настройка Infoblox для отправки данных системного журнала в Соединитель данных Infoblox Cloud Data Connector для пересылки в агент системного журнала
Выполните приведенные ниже действия, чтобы настроить CDC Infoblox для отправки данных в Microsoft Sentinel с помощью агента Системного журнала Linux.
- Перейдите к разделу "Управление соединителем >данных".
- Щелкните вкладку "Конфигурация назначения" в верхней части.
- Нажмите кнопку "Создать > системный журнал".
- Имя: присвойте новому назначению понятное имя, например Microsoft-Sentinel-Destination.
- Описание. При необходимости присвойте ему понятное описание.
- Состояние: задайте для состояния значение "Включено".
- Формат: задайте для формата CEF.
- Полное доменное имя или IP-адрес: введите IP-адрес устройства Linux, на котором установлен агент Linux.
- Порт: оставьте номер порта 514.
- Протокол: выберите требуемый протокол и сертификат ЦС, если это применимо.
- Щелкните Сохранить и закрыть.
- Щелкните вкладку "Конфигурация потока трафика" в верхней части.
- Нажмите кнопку Создать.
- Имя: присвойте новому потоку трафика понятное имя, например Microsoft-Sentinel-Flow.
- Описание. При необходимости присвойте ему понятное описание.
- Состояние: задайте для состояния значение "Включено".
- Разверните раздел "Экземпляр службы".
- Экземпляр службы: выберите нужный экземпляр службы, для которого включена служба соединителя данных.
- Разверните раздел "Исходная конфигурация".
- Источник: select BloxOne Cloud Source.
- Выберите все нужные типы журналов , которые вы хотите собрать. В настоящее время поддерживаются типы журналов:
- Журнал запросов и ответов защиты от угроз
- Журнал попаданий в каналы угроз защиты от угроз
- Журнал запросов и ответов DDI
- Журнал аренды DHCP DDI
- Разверните раздел "Конфигурация назначения".
- Выберите только что созданное назначение .
- Щелкните Сохранить и закрыть.
Разрешите настройке некоторое время активации.
Проверка подключения
Следуйте инструкциям, чтобы проверить подключение:
Откройте Log Analytics, чтобы проверить, получены ли журналы с помощью схемы CommonSecurityLog.
Это может занять около 20 минут, пока данные подключения не передаются в рабочую область.
Если журналы не получены, выполните следующий сценарий проверки подключения:
- Убедитесь, что на компьютере есть Python, используя следующую команду: python -version
- На компьютере должны быть повышенные разрешения (sudo)
Выполните следующую команду, чтобы проверить подключение:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Защита компьютера
Обязательно настройте безопасность компьютера в соответствии с политикой безопасности вашей организации.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.