[Рекомендуется] Infoblox SOC Insights Data Connector через соединитель AMA для Microsoft Sentinel
Соединитель данных Infoblox SOC Insights позволяет легко подключать данные Infoblox BloxOne SOC Insights с помощью Microsoft Sentinel. Подключив журналы к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска и корреляции, оповещения и обогащения аналитики угроз для каждого журнала.
Этот соединитель данных отправляет журналы Infoblox SOC Insights CDC в рабочую область Log Analytics с помощью нового агента Azure Monitor. Дополнительные сведения о приеме с помощью нового агента Azure Monitor см. здесь. Корпорация Майкрософт рекомендует использовать этот соединитель данных.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | CommonSecurityLog (InfobloxCDC_SOCInsights) |
| Поддержка правил сбора данных | Преобразование DCR рабочей области |
| Поддерживается | Infoblox |
Примеры запросов
Возврат всех журналов, связанных с туннелированием DNS
InfobloxCDC_SOCInsights
| where ThreatType == "DNS Tunneling"
Возврат всех журналов, связанных с проблемой конфигурации
InfobloxCDC_SOCInsights
| where ThreatClass == "TI-CONFIGURATIONISSUE"
Возврат всех журналов высокого уровня угроз
InfobloxCDC_SOCInsights
| where ThreatLevel == "High"
Возвращаемые журналы состояния
InfobloxCDC_SOCInsights
| where Status == "RAISED"
Возвращаемые журналы с большим количеством разблокированных попаданий DNS
InfobloxCDC_SOCInsights
| where NotBlockedCount >= 100
Возвращает каждое представление по ThreatFamily
InfobloxCDC_SOCInsights
| summarize dcount(InfobloxInsightID) by ThreatFamily
Необходимые компоненты
Чтобы интегрироваться с [рекомендуется] Infoblox SOC Insights Data Connector через AMA убедитесь, что у вас есть:
- : для сбора данных из виртуальных машин, отличных от Azure, они должны быть установлены и включены в Azure Arc. Подробнее
- : необходимо установить стандартный формат событий (CEF) через AMA и Syslog через соединители данных AMA. Подробнее
Инструкции по установке поставщика
Ключи рабочей области
Чтобы использовать сборники схем в рамках этого решения, найдите идентификатор рабочей области и первичный ключ рабочей области ниже для удобства.
Ключ рабочей области
Средства синтаксического анализа
Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом с именем InfobloxCDC_SOCInsights , развернутой с помощью решения Microsoft Sentinel.
Аналитика SOC
Этот соединитель данных предполагает, что у вас есть доступ к Infoblox BloxOne Threat Defense SOC Insights. Дополнительные сведения о SOC Insights см. здесь.
Соединитель облачных данных Infoblox
Этот соединитель данных предполагает, что узел соединителя данных Infoblox уже создан и настроен на портале Infoblox Облачные службы (CSP). Так как соединитель данных Infoblox является функцией BloxOne Threat Defense, требуется доступ к соответствующей подписке BloxOne Threat Defense. Дополнительные сведения и требования к лицензированию см. в этом кратком руководстве .
- Защита компьютера
Обязательно настройте безопасность компьютера в соответствии с политикой безопасности вашей организации.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.