Infoblox SOC Insight Data Connector tramite il connettore API REST per Microsoft Sentinel

Infoblox SOC Insight Data Connector consente di connettere facilmente i dati di Infoblox BloxOne SOC Insight con Microsoft Sentinel. Connettendo i log a Microsoft Sentinel, è possibile sfruttare i vantaggi di ricerca e correlazione, avvisi e arricchimento delle informazioni sulle minacce per ogni log.

Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.

Attributi connettore

Esempi di query

Restituire tutti i log che coinvolgono il tunneling DNS

InfobloxInsight_CL

| where threatType_s == "DNS Tunneling"

Restituire tutti i log che coinvolgono un problema di configurazione

InfobloxInsight_CL

| where tClass_s == "TI-CONFIGURATIONISSUE"

Restituisce il conteggio delle informazioni dettagliate sulle priorità critiche

InfobloxInsight_CL

| where priorityText_s == "CRITICAL"

| summarize dcount(insightId_g) by priorityText_s

Restituire ogni informazione di diffusione da ThreatClass

InfobloxInsight_CL

| where isnotempty(spreadingDate_t)

| summarize dcount(insightId_g) by tClass_s

Restituire ogni insight by ThreatFamily

InfobloxInsight_CL

| 
| summarize dcount(insightId_g) by tFamily_s

Istruzioni per l’installazione di Vendor

Chiavi dell'area di lavoro

Per usare i playbook come parte di questa soluzione, trovare l'ID area di lavoro e la chiave primaria dell'area di lavoro di seguito per praticità.

Chiave dell'area di lavoro

Parser

Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto denominato InfobloxInsight distribuito con la soluzione Microsoft Sentinel.

SOC Insights

Questo connettore dati presuppone che l'utente abbia accesso a Infoblox BloxOne Threat Defense SOC Insights. Altre informazioni su SOC Insights sono disponibili qui.

Seguire questa procedura per configurare questo connettore dati

Passaggi successivi

Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.