Connettore dati Infoblox tramite l'API REST (usando Funzioni di Azure) connettore per Microsoft Sentinel

Infoblox Data Connector consente di connettere facilmente i dati di Infoblox TIDE e dossier con Microsoft Sentinel. Connettendo i dati a Microsoft Sentinel, è possibile sfruttare i vantaggi di ricerca e correlazione, avvisi e arricchimento delle informazioni sulle minacce per ogni log.

Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.

Attributi connettore

Esempi di query

Intervallo di tempo indicatore non riuscito ricevuto

Failed_Range_To_Ingest_CL

| sort by TimeGenerated desc

Dati dell'intervallo di indicatori non riusciti

Infoblox_Failed_Indicators_CL

| sort by TimeGenerated desc

Dossier whois origine dati

dossier_whois_CL

| sort by TimeGenerated desc

Origine dati dei rischi dossier tld

dossier_tld_risk_CL

| sort by TimeGenerated desc

Origine dati dell'attore di minacce Dossier

dossier_threat_actor_CL

| sort by TimeGenerated desc

Dossier rpz registra l'origine dati

dossier_rpz_feeds_records_CL

| sort by TimeGenerated desc

Origine dati dei feed dossier rpz

dossier_rpz_feeds_CL

| sort by TimeGenerated desc

Il server dei nomi dossier corrisponde all'origine dati

dossier_nameserver_matches_CL

| sort by TimeGenerated desc

Origine dati nameserver dossier

dossier_nameserver_CL

| sort by TimeGenerated desc

Origine dati dell'analisi del malware dossier v3

dossier_malware_analysis_v3_CL

| sort by TimeGenerated desc

Origine dati dossier inforank

dossier_inforank_CL

| sort by TimeGenerated desc

Origine dati dossier infoblox web cat

dossier_infoblox_web_cat_CL

| sort by TimeGenerated desc

Origine dati geografica dossier

dossier_geo_CL

| sort by TimeGenerated desc

Origine dati dns Dossier

dossier_dns_CL

| sort by TimeGenerated desc

Origine dati sulle minacce dossier atp

dossier_atp_threat_CL

| sort by TimeGenerated desc

Origine dati Dossier atp

dossier_atp_CL

| sort by TimeGenerated desc

Origine dati Dossier ptr

dossier_ptr_CL

| sort by TimeGenerated desc

Prerequisiti

Per eseguire l'integrazione con Infoblox Data Connector tramite l'API REST (usando Funzioni di Azure) assicurarsi di avere:

• Sottoscrizione di Azure: la sottoscrizione di Azure con ruolo proprietario è necessaria per registrare un'applicazione nell'ID Microsoft Entra e assegnare il ruolo di collaboratore all'app nel gruppo di risorse.
• autorizzazioni Microsoft.Web/siti: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure al fine di creare un'app per le funzioni. Vedere la documentazione per altre informazioni su Funzioni di Azure.
• Credenziali/autorizzazioni dell'API REST: è necessaria la chiave API Infoblox. Vedere la documentazione per altre informazioni sull'API nei riferimento API REST

Istruzioni per l’installazione di Vendor

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'App per le funzioni di Azure.

PASSAGGIO 1 - Passaggi di registrazione dell'app per l'applicazione in Microsoft Entra ID

Questa integrazione richiede una registrazione dell'app nel portale di Azure. Seguire la procedura descritta in questa sezione per creare una nuova applicazione in Microsoft Entra ID:

1. Accedi al portale di Azure.
2. Cerca e seleziona Microsoft Entra ID.
3. Alla voce Gestisci, selezionare Registrazioni app > Nuova registrazione.
4. Immettere un Nome visualizzato per l'applicazione.
5. Selezionare Registra per completare la registrazione iniziale dell'app.
6. Al termine della registrazione nel portale di Azure viene visualizzato il riquadro Panoramica della registrazione dell'app. Viene visualizzato l'ID applicazione (client) e l'ID tenant. L'ID client e l'ID tenant sono necessari come parametri di configurazione per l'esecuzione del playbook TriggersSync.

Collegamento di riferimento:/azure/active-directory/develop/quickstart-register-app

PASSAGGIO 2 - Aggiungere un segreto client per l'applicazione in Microsoft Entra ID

A volte chiamata password dell'applicazione, un segreto client è un valore stringa necessario per l'esecuzione del playbook TriggersSync. Seguire la procedura descritta in questa sezione per creare un nuovo segreto client:

1. Nel portale di Azure selezionare l'applicazione in Registrazioni app.
2. Selezionare Certificati e segreti> Segreti client > Nuovo segreto client.
3. Aggiungere una descrizione per il segreto client.
4. Selezionare una scadenza per il segreto o specificare una durata personalizzata. Il limite è di 24 mesi.
5. Selezionare Aggiungi.
6. Registrare il valore del segreto da usare nel codice dell'applicazione client. Questo valore del segreto non viene mai più visualizzato dopo aver lasciato questa pagina. Il valore del segreto è obbligatorio come parametro di configurazione per l'esecuzione del playbook TriggersSync.

Collegamento di riferimento:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

PASSAGGIO 3 - Assegnare il ruolo collaboratore all'applicazione in Microsoft Entra ID

Seguire la procedura descritta in questa sezione per assegnare il ruolo:

1. Nel portale di Azure andare a Gruppo di risorse e selezionare il gruppo di risorse.
2. Andare a Controllo di accesso (IAM) nel pannello sinistro.
3. Fare clic su Aggiungie selezionare Aggiungi assegnazione di ruolo.
4. Selezionare Collaboratore come ruolo e fare clic su Avanti.
5. Assegna accesso a: selezionare User, group, or service principal.
6. Fare clic su Aggiungi membri e digitare il nome dell'app creato e selezionarlo.
7. Fare clic su Rivedi + assegna, quindi fare di nuovo clic su Rivedi + assegna.

Collegamento di riferimento:/azure/role-based-access-control/role-assignments-portal

PASSAGGIO 4- Passaggi per generare le credenziali dell'API Infoblox

Seguire queste istruzioni per generare la chiave API Infoblox. Nel portale di Servizi cloud Infoblox generare una chiave API e copiarla in un punto sicuro da usare nel passaggio successivo. Per istruzioni su come creare chiavi API, vedere qui.

PASSAGGIO 5: Passaggi per distribuire il connettore e la funzione di Azure associata

IMPORTANTE: prima di distribuire il connettore dati Infoblox, disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato da quanto segue) immediatamente disponibile.., nonché le credenziali di autorizzazione dell'API Infoblox

Modello di Azure Resource Manager (ARM)

Usare questo metodo per la distribuzione automatica del connettore Infoblox Data.

1. Fare clic sul pulsante Distribuisci in Azure sotto.

   

2. Selezionare la Sottoscrizione preferita, il Gruppo di risorse e la Località.

3. Immettere le informazioni seguenti: Id tenant di Azure Id client Id Azure - Id client Infoblox Token API Token Infoblox Base URL Workspace Key Log Level (Default: INFO) Confidence Threat Level App Insights Workspace Resource ID (ID risorsa area di lavoro infoblox URL di base ID area di lavoro ID area di lavoro ID area di lavoro ID area di lavoro id di livello di minaccia: INFO) Livello di minaccia- Id risorsa dell'area di lavoro informazioni dettagliate sulle minacce

4. Contrassegnare la casella di controllo etichettata Accetto le condizioni riportate sopra.

5. Fare clic su Acquista per effettuare la distribuzione.

Passaggi successivi

Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.