Konektor Infoblox Data Connector prostřednictvím rozhraní REST API (pomocí služby Azure Functions) pro Microsoft Sentinel

  • Článek

Datový konektor Infoblox umožňuje snadno připojit data Infoblox TIDE a data dokumentace k Microsoft Sentinelu. Propojením dat s Microsoft Sentinelem můžete pro každý protokol využít výhod vyhledávání a korelace, upozorňování a rozšiřování analýzy hrozeb.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

Atributy konektoru

Atribut konektoru Popis
Tabulky Log Analytics Failed_Range_To_Ingest_CL
Infoblox_Failed_Indicators_CL
dossier_whois_CL
dossier_tld_risk_CL
dossier_threat_actor_CL
dossier_rpz_feeds_records_CL
dossier_rpz_feeds_CL
dossier_nameserver_matches_CL
dossier_nameserver_CL
dossier_malware_analysis_v3_CL
dossier_inforank_CL
dossier_infoblox_web_cat_CL
dossier_geo_CL
dossier_dns_CL
dossier_atp_threat_CL
dossier_atp_CL
dossier_ptr_CL
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno Infoblox

Ukázky dotazů

Přijatý časový rozsah neúspěšného ukazatele

Failed_Range_To_Ingest_CL

| sort by TimeGenerated desc

Data rozsahu neúspěšných indikátorů

Infoblox_Failed_Indicators_CL

| sort by TimeGenerated desc

Dokumentace, která je zdrojem dat

dossier_whois_CL

| sort by TimeGenerated desc

Zdroj údajů o riziku dokumentace

dossier_tld_risk_CL

| sort by TimeGenerated desc

Zdroj dat aktér ohrožení dokumentace

dossier_threat_actor_CL

| sort by TimeGenerated desc

Dokumentace rpz feeds zaznamenává zdroj dat

dossier_rpz_feeds_records_CL

| sort by TimeGenerated desc

Zdroj dat dokumentace rpz

dossier_rpz_feeds_CL

| sort by TimeGenerated desc

Názvový server dokumentace odpovídá zdroji dat.

dossier_nameserver_matches_CL

| sort by TimeGenerated desc

Zdroj dat názvového serveru dokumentace

dossier_nameserver_CL

| sort by TimeGenerated desc

Zdroj dat analýzy malwaru dokumentace v3

dossier_malware_analysis_v3_CL

| sort by TimeGenerated desc

Zdroj dat s informacemi o dokumentaci

dossier_inforank_CL

| sort by TimeGenerated desc

Zdroj údajů o dokumentaci infoblox webové kočky

dossier_infoblox_web_cat_CL

| sort by TimeGenerated desc

Geografický zdroj dat dokumentace

dossier_geo_CL

| sort by TimeGenerated desc

Zdroj dat DNS dokumentace

dossier_dns_CL

| sort by TimeGenerated desc

Zdroj dat o ohrožení dokumentace

dossier_atp_threat_CL

| sort by TimeGenerated desc

Zdroj dat dokumentace atp

dossier_atp_CL

| sort by TimeGenerated desc

Zdroj dat ptr dokumentace

dossier_ptr_CL

| sort by TimeGenerated desc

Požadavky

Pokud se chcete integrovat s datovým konektorem Infoblox prostřednictvím rozhraní REST API (pomocí Azure Functions), ujistěte se, že máte:

  • Předplatné Azure: Předplatné Azure s rolí vlastníka se vyžaduje k registraci aplikace v MICROSOFT Entra ID a přiřazení role přispěvatele k aplikaci ve skupině prostředků.
  • Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
  • Přihlašovací údaje nebo oprávnění rozhraní REST API: Vyžaduje se klíč rozhraní API Infoblox. Další informace o rozhraní API v referenčních informacích k rozhraní REST API najdete v dokumentaci.

Pokyny k instalaci dodavatele

Poznámka:

Tento konektor používá azure Functions k připojení k rozhraní Infoblox API k vytvoření indikátorů hrozeb pro TIDE a načtení dat dokumentace do služby Microsoft Sentinel. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.

(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.

KROK 1 : Kroky registrace aplikace pro aplikaci v Microsoft Entra ID

Tato integrace vyžaduje registraci aplikace na webu Azure Portal. Podle kroků v této části vytvořte novou aplikaci v MICROSOFT Entra ID:

  1. Přihlaste se k portálu Azure.
  2. Vyhledejte a vyberte Microsoft Entra ID.
  3. V části Spravovat vyberte Registrace aplikací > Nová registrace.
  4. Zadejte zobrazovaný název aplikace.
  5. Výběrem možnosti Zaregistrovat dokončete počáteční registraci aplikace.
  6. Po dokončení registrace se na webu Azure Portal zobrazí podokno Přehled registrace aplikace. Zobrazí se ID aplikace (klienta) a ID tenanta. ID klienta a ID tenanta se vyžadují jako parametry konfigurace pro spuštění playbooku TriggersSync.

Referenční odkaz: /azure/active-directory/develop/quickstart-register-app

KROK 2 : Přidání tajného klíče klienta pro aplikaci v Microsoft Entra ID

Někdy se označuje jako heslo aplikace, tajný klíč klienta je řetězcová hodnota požadovaná pro spuštění playbooku TriggersSync. Podle kroků v této části vytvořte nový tajný klíč klienta:

  1. Na webu Azure Portal v Registrace aplikací vyberte svou aplikaci.
  2. Vyberte Certifikáty a tajné > klíče > klienta Nové tajné klíče klienta.
  3. Přidejte popis tajného kódu klienta.
  4. Vyberte vypršení platnosti tajného kódu nebo zadejte vlastní životnost. Limit je 24 měsíců.
  5. Vyberte Přidat.
  6. Poznamenejte si hodnotu tajného kódu pro použití v kódu klientské aplikace. Po opuštění této stránky se tento tajný kód už nikdy nezobrazí. Hodnota tajného kódu se vyžaduje jako parametr konfigurace pro spuštění playbooku TriggersSync.

Referenční odkaz: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret

KROK 3 : Přiřazení role Přispěvatel k aplikaci v Microsoft Entra ID

Přiřaďte roli podle kroků v této části:

  1. Na webu Azure Portal přejděte do skupiny prostředků a vyberte skupinu prostředků.
  2. V levém panelu přejděte na Řízení přístupu (IAM ).
  3. Klikněte na Přidat a pak vyberte Přidat přiřazení role.
  4. Vyberte Přispěvatel jako roli a klikněte na další.
  5. V možnosti Přiřadit přístup vyberte User, group, or service principal.
  6. Klikněte na přidat členy a zadejte název aplikace, který jste vytvořili, a vyberte ho.
  7. Teď klikněte na Zkontrolovat a přiřadit a pak znovu klikněte na Zkontrolovat a přiřadit.

Referenční odkaz: /azure/role-based-access-control/role-assignments-portal

KROK 4 – Kroky pro vygenerování přihlašovacích údajů rozhraní Infoblox API

Podle těchto pokynů vygenerujte klíč rozhraní API Infoblox. Na portálu Infoblox Cloud Services vygenerujte klíč rozhraní API a zkopírujte ho někam bezpečně, abyste ho mohli použít v dalším kroku. Pokyny k vytvoření klíčů rozhraní API najdete tady.

KROK 5 – Kroky nasazení konektoru a přidružené funkce Azure Functions

DŮLEŽITÉ: Před nasazením datového konektoru Infoblox je k dispozici ID pracovního prostoru a primární klíč pracovního prostoru (lze ho zkopírovat z následujícího) a také přihlašovací údaje pro autorizaci rozhraní Infoblox API.

Šablona Azure Resource Manageru (ARM)

Tuto metodu použijte pro automatizované nasazení datového konektoru Infoblox.

  1. Klikněte níže na tlačítko Nasadit do Azure .

    Nasadit do Azure

  2. Vyberte upřednostňované předplatné, skupinu prostředků a umístění.

  3. Zadejte níže uvedené informace: ID klienta Azure ID klienta Azure Client Secret Infoblox API Token Infoblox Base URL Workspace ID Pracovního prostoru id klíče pracovního prostoru (výchozí: INFO) ID prostředku pracovního prostoru Úrovně spolehlivosti App Insights

  4. Zaškrtněte políčko označené jako Souhlasím s podmínkami a ujednáními uvedenými výše.

  5. Kliknutím na Koupit nasadíte.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.