Connector für Infoblox Data Connector über REST-API (mittels Azure Functions) für Microsoft Sentinel

Der Infoblox Cloud Data Connector ermöglicht es Ihnen, Ihre Infoblox TIDE- und Dossier-Daten auf einfache Weise mit Microsoft Sentinel zu verbinden. Indem Sie Ihre Daten mit Microsoft Sentinel verbinden, können Sie Suche und Korrelation, Benachrichtigung sowie Threat Intelligence-Anreicherung für jedes Protokoll nutzen.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen Failed_Range_To_Ingest_CL
Infoblox_Failed_Indicators_CL
dossier_whois_CL
dossier_tld_risk_CL
dossier_threat_actor_CL
dossier_rpz_feeds_records_CL
dossier_rpz_feeds_CL
dossier_nameserver_matches_CL
dossier_nameserver_CL
dossier_malware_analysis_v3_CL
dossier_inforank_CL
dossier_infoblox_web_cat_CL
dossier_geo_CL
dossier_dns_CL
dossier_atp_threat_CL
dossier_atp_CL
dossier_ptr_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Infoblox

Abfragebeispiele

Fehlerhafter Indikator – Zeitbereich empfangen

Failed_Range_To_Ingest_CL

| sort by TimeGenerated desc

Fehlerhafte Indikatoren – Bereichsdaten

Infoblox_Failed_Indicators_CL

| sort by TimeGenerated desc

Dossier WHOIS – Datenquelle

dossier_whois_CL

| sort by TimeGenerated desc

Dossier TLS-Risiko – Datenquelle

dossier_tld_risk_CL

| sort by TimeGenerated desc

Dossier Bedrohungsakteur – Datenquelle

dossier_threat_actor_CL

| sort by TimeGenerated desc

Dossier RPZ-Feeds-Datensätze – Datenquelle

dossier_rpz_feeds_records_CL

| sort by TimeGenerated desc

Dossier RPZ-Feeds – Datenquelle

dossier_rpz_feeds_CL

| sort by TimeGenerated desc

Dossier Nameserver-Übereinstimmungen – Datenquelle

dossier_nameserver_matches_CL

| sort by TimeGenerated desc

Dossier Nameserver – Datenquelle

dossier_nameserver_CL

| sort by TimeGenerated desc

Dossier Malware-Analyse v3 – Datenquelle

dossier_malware_analysis_v3_CL

| sort by TimeGenerated desc

Dossier Inforank – Datenquelle

dossier_inforank_CL

| sort by TimeGenerated desc

Dossier Infoblox-Webkatalog – Datenquelle

dossier_infoblox_web_cat_CL

| sort by TimeGenerated desc

Dossier Geo – Datenquelle

dossier_geo_CL

| sort by TimeGenerated desc

Dossier DNS – Datenquelle

dossier_dns_CL

| sort by TimeGenerated desc

Dossier ATP-Bedrohung – Datenquelle

dossier_atp_threat_CL

| sort by TimeGenerated desc

Dossier ARP – Datenquelle

dossier_atp_CL

| sort by TimeGenerated desc

Dossier PTR – Datenquelle

dossier_ptr_CL

| sort by TimeGenerated desc

Voraussetzungen

Stellen Sie für die Integration in Infoblox Data Connector über REST-API (mittels Azure Functions) sicher, dass Sie über Folgendes verfügen:

  • Azure-Abonnement: Ein Azure-Abonnement mit Besitzerrolle ist erforderlich, um eine Anwendung in Microsoft Entra ID zu registrieren und die Rolle des Mitwirkenden der App in der Ressourcengruppe zuzuweisen.
  • Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
  • REST-API-Anmeldeinformationen/Berechtigungen: Infoblox-API-Schlüssel ist erforderlich. Weitere Informationen zur API finden Sie in der Dokumentation in der REST-API-Referenz.

Installationsanweisungen des Anbieters

Hinweis

Dieser Connector verwendet Azure Functions, um eine Verbindung mit der Infoblox-API herzustellen, um Bedrohungsindikatoren für TIDE zu erstellen und Dossier-Daten in Microsoft Sentinel abzurufen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.

Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.

SCHRITT 1 – App-Registrierungsschritte für die Anwendung in Microsoft Entra ID

Für diese Integration ist eine App-Registrierung im Azure-Portal erforderlich. Führen Sie die Schritte in diesem Abschnitt aus, um eine neue Anwendung in Microsoft Entra ID zu erstellen:

  1. Melden Sie sich beim Azure-Portal an.
  2. Suchen Sie nach Microsoft Entra ID, und wählen Sie es aus.
  3. Wählen Sie unter Verwalten Folgendes aus: App-Registrierungen > Neue Registrierung.
  4. Geben Sie einen Anzeigenamen für Ihre Anwendung ein.
  5. Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.
  6. Nach Abschluss der Registrierung wird im Azure-Portal die Übersicht für die App-Registrierung angezeigt. Hier werden die Anwendungs-ID (Client) und die Mandanten-ID angezeigt. Die Client-ID und die Mandanten-ID sind als Konfigurationsparameter für die Ausführung des TriggersSync-Playbooks erforderlich.

Referenzlink: /azure/active-directory/develop/quickstart-register-app

SCHRITT 2 – Hinzufügen eines geheimen Clientschlüssels für die Anwendung in Microsoft Entra ID

Ein geheimer Clientschlüssel wird manchmal auch als Anwendungskennwort bezeichnet. Es handelt sich dabei um einen Zeichenfolgenwert, der für die Ausführung des TriggersSync-Playbooks erforderlich ist. Führen Sie die Schritte in diesem Abschnitt aus, um einen neuen geheimen Clientschlüssel zu erstellen:

  1. Wählen Sie im Azure-Portal unter App-Registrierungen Ihre Anwendung aus.
  2. Wählen Sie Zertifikate und Geheimnisse > Geheime Clientschlüssel > Neuer geheimer Clientschlüssel aus.
  3. Fügen Sie eine Beschreibung für Ihren geheimen Clientschlüssel hinzu.
  4. Wählen Sie für das Geheimnis eine Ablauffrist aus, oder geben Sie eine benutzerdefinierte Lebensdauer an. Der Grenzwert beträgt 24 Monate.
  5. Wählen Sie Hinzufügen aus.
  6. Notieren Sie sich den Wert des Geheimnisses, das in Ihrem Clientanwendungscode verwendet werden soll. Dieser Geheimniswert kann nach Verlassen dieser Seite nicht erneut angezeigt werden. Der Geheimniswert ist als Konfigurationsparameter für die Ausführung des TriggersSync-Playbooks erforderlich.

Referenzlink: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret

SCHRITT 3 – Zuweisen der Rolle „Mitwirkender“ zur Anwendung in Microsoft Entra ID

Um die Rolle zuzuweisen, führen Sie die Schritte in diesem Abschnitt aus:

  1. Wechseln Sie im Azure-Portal zu Ressourcengruppen, und wählen Sie Ihre Ressourcengruppe aus.
  2. Wechseln Sie im linken Bereich zu Zugriffssteuerung (IAM).
  3. Klicken Sie auf Hinzufügen, und wählen Sie anschließend Rollenzuweisung hinzufügen aus.
  4. Wählen Sie Mitwirkenden als Rolle aus, und klicken Sie auf „Weiter“.
  5. Wählen Sie unter Zugriff zuweisen zu die Option User, group, or service principal aus.
  6. Klicken Sie auf Mitglieder hinzufügen, geben Sie den von Ihnen erstellten App-Namen ein, und wählen Sie ihn aus.
  7. Klicken Sie nun auf Überprüfen + zuweisen und dann erneut auf Überprüfen + zuweisen.

Referenzlink: /azure/role-based-access-control/role-assignments-portal

SCHRITT 4 – Schritte zum Generieren der Infoblox-API-Anmeldeinformationen

Befolgen Sie diese Anweisungen, um den Infoblox-API-Schlüssel zu generieren. Generieren Sie im Infoblox Cloud Services-Portal einen API-Schlüssel, und kopieren Sie ihn an einen sicheren Ort zur Verwendung im nächsten Schritt. Anweisungen zum Erstellen von API-Schlüsseln finden Sie hier.

Schritt 5 – Schritte zum Bereitstellen des Connectors und der zugeordneten Azure-Funktion

WICHTIG: Für die Bereitstellung des Infoblox-Datenconnectors müssen Sie die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs (die entsprechenden Informationen können wie folgt kopiert werden) sowie die Anmeldeinformationen zur Autorisierung für die Infoblox-API zur Hand haben

Azure Resource Manager (ARM)-Vorlage

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Infoblox-Datenconnectors.

  1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

    In Azure bereitstellen

  2. Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Standort aus.

  3. Geben Sie die folgenden Informationen ein: Azure Mandanten-ID, Azure Client-Id, geheimen Azure-Clientschlüssel, Infoblox API-Token, Infoblox Basis-URL, Arbeitsbereichs-ID, Arbeitsbereichsschlüssel, Protokolliergrad (Standard: INFO) Konfidenzbedrohungsebene, App-Erkenntnisse, Arbeitsbereichs-Ressourcen-ID

  4. Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.

  5. Klicken Sie zum Bereitstellen auf Kaufen.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.