Conector de Dados Infoblox via API REST (usando o Azure Functions) para o Microsoft Sentinel
O Conector de Dados do Infoblox permite que você conecte facilmente seus dados TIDE do Infoblox e dados de dossiê ao Microsoft Sentinel. Ao conectar dados ao Microsoft Sentinel, você pode aproveitar a pesquisa e correlação, alertas e o enriquecimento da inteligência contra ameaças para cada log.
Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | Failed_Range_To_Ingest_CL Infoblox_Failed_Indicators_CL dossier_whois_CL dossier_tld_risk_CL dossier_threat_actor_CL dossier_rpz_feeds_records_CL dossier_rpz_feeds_CL dossier_nameserver_matches_CL dossier_nameserver_CL dossier_malware_analysis_v3_CL dossier_inforank_CL dossier_infoblox_web_cat_CL dossier_geo_CL dossier_dns_CL dossier_atp_threat_CL dossier_atp_CL dossier_ptr_CL |
| Suporte às regras de coleta de dados | Sem suporte no momento |
| Com suporte por | Infoblox |
Exemplos de consulta
Intervalo de tempo do Indicador com falha recebido
Failed_Range_To_Ingest_CL
| sort by TimeGenerated desc
Dados de Intervalo de Indicadores com Falha
Infoblox_Failed_Indicators_CL
| sort by TimeGenerated desc
Dossiê de fonte de dados whois
dossier_whois_CL
| sort by TimeGenerated desc
Dossiê de fonte de dados de risco de domínio
dossier_tld_risk_CL
| sort by TimeGenerated desc
Dossiê de fonte de dados do ator de ameaça
dossier_threat_actor_CL
| sort by TimeGenerated desc
Dossiê rpz alimenta a fonte de dados de registros
dossier_rpz_feeds_records_CL
| sort by TimeGenerated desc
Dossiê rpz alimenta a fonte de dados
dossier_rpz_feeds_CL
| sort by TimeGenerated desc
Dossiê do nameserver corresponde à fonte de dados
dossier_nameserver_matches_CL
| sort by TimeGenerated desc
Dossiê da fonte de dados do nameserver
dossier_nameserver_CL
| sort by TimeGenerated desc
Dossiê da fonte de dados de análise de malware v3
dossier_malware_analysis_v3_CL
| sort by TimeGenerated desc
Dossiê da fonte de dados inforank
dossier_inforank_CL
| sort by TimeGenerated desc
Dossiê da fonte de dados do infoblox web cat
dossier_infoblox_web_cat_CL
| sort by TimeGenerated desc
Dossiê da fonte de dados geográfica
dossier_geo_CL
| sort by TimeGenerated desc
Dossiê da fonte de dados DNS
dossier_dns_CL
| sort by TimeGenerated desc
Dossiê da fonte de dados de ameaça do atp
dossier_atp_threat_CL
| sort by TimeGenerated desc
Dossiê da fonte de dados do atp
dossier_atp_CL
| sort by TimeGenerated desc
Dossiê da fonte de dados do ptr
dossier_ptr_CL
| sort by TimeGenerated desc
Pré-requisitos
Para integrar ao Conector de Dados do Infoblox por meio da API REST (usando o Azure Functions), verifique se você tem:
- Assinatura do Azure: a assinatura do Azure com função de proprietário é necessária para registrar um aplicativo no Microsoft Entra ID e atribuir a função de contribuidor ao aplicativo no grupo de recursos.
- Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
- Credenciais/permissões da API REST: a Chave de API do Infoblox é necessária. Consulte a documentação para saber mais sobre a API na referência API REST
Instruções de instalação do fornecedor
Observação
Esse conector usa o Azure Functions para se conectar à API do Infoblox para criar Indicadores de Ameaças para TIDE e efetuar pull de dados do Dossier no Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.
(Etapa opcional): armazene o espaço de trabalho e as chaves de autorização ou tokens da API com segurança no Azure Key Vault. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um aplicativos do Azure Function.
ETAPA 1: Etapas de registro do aplicativo no Microsoft Entra ID
Essa integração requer um registo de App no portal do Azure. Siga as etapas nessa seção para criar um novo aplicativo no Microsoft Entra ID:
- Entre no portal do Azure.
- Procure e selecione o Microsoft Entra ID.
- Em Gerenciar, selecione Registros de aplicativo > Novo registro.
- Insira um Nome de exibição para o seu aplicativo.
- Selecione Registrar para concluir o registro inicial do aplicativo.
- Quando o registro for concluído, o portal do Azure exibirá o painel Visão geral do registro de aplicativo. Você vê o ID do aplicativo (cliente) e o ID do locatário. A ID do cliente e a ID do locatário são necessárias como parâmetros de configuração para a execução do guia estratégico TriggersSync.
Link de referência: /azure/active-directory/develop/quickstart-register-app
ETAPA 2: Adicionar um segredo de cliente para o aplicativo no Microsoft Entra ID
Às vezes chamado de senha do aplicativo, o segredo do cliente é um valor de cadeia de caracteres necessário para a execução do guia estratégico TriggersSync. Siga as etapas nessa seção para criar um novo segredo do cliente:
- No portal do Azure, em Registros de aplicativo, selecione seu aplicativo.
- Selecione Certificados e segredos > Segredos do cliente > Novo segredo do cliente.
- Adicione uma descrição para o segredo do cliente.
- Selecione uma data de expiração para o segredo ou especifique um tempo de vida personalizado. O limite é de 24 meses.
- Selecione Adicionar.
- Registre o valor do segredo para uso no código do aplicativo cliente. Esse valor secreto nunca será exibido novamente depois que você sair dessa página. O valor secreto é necessário como parâmetro de configuração para a execução do guia estratégico TriggersSync.
Link de referência: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret
ETAPA 3: Atribuir a função de Colaborador ao aplicativo no Microsoft Entra ID
Siga as etapas nessa seção para atribuir a função:
- No portal do Azure, vá para Grupo de Recursos e selecione seu grupo de recursos.
- Vá para Controle de acesso (IAM) no painel esquerdo.
- Clique em Adicionar e selecione Adicionar atribuição de função.
- Selecione Contribuidor como função e clique em próximo.
- Em Atribuir acesso a, selecione
User, group, or service principal. - Clique em adicionar membrose digite o nome do seu aplicativo que você criou e selecione-o.
- Agora clique em Revisar + atribuir e depois clique novamente em Revisar + atribuir.
Link de referência: /azure/role-based-access-control/role-assignments-portal
ETAPA 4 – Etapas para gerar as credenciais da API do Infoblox
Siga estas instruções para gerar a Chave de API do Infoblox. No Portal dos Serviços de Nuvem do Infoblox, gere uma chave de API e copie-a em algum lugar seguro para usar na próxima etapa. Você pode encontrar instruções sobre como criar chaves de API aqui.
ETAPA 5 - Etapas para implantar o conector e a Função do Azure associada
IMPORTANTE: Antes de implantar o conector de dados do Infoblox, tenha em mãos a ID do espaço de trabalho e a chave primária do espaço de trabalho (podem ser copiadas do seguinte) prontamente disponíveis.., bem como as Credenciais de Autorização da API Infoblox
Modelo do ARM (Azure Resource Manager)
Use esse método para a implantação automatizada do conector do Infoblox.
Clique no botão Implantar no Azure abaixo.
Selecione a Assinatura, o Grupo de Recursos e o Local de sua preferência.
Insira as informações abaixo: ID do Inquilino do Azure ID do Cliente do Azure Segredo do Cliente do Azure Token da API Infoblox URL Base do Infoblox ID do Workspace Chave do Workspace Nível de Log (Padrão: INFO) Nível de Confiança de Ameaça ID do Recurso do Workspace do App Insights
Marque a caixa de seleção rotulada como Concordo com os termos e condições declarados acima.
Clique em Comprar para fazer a implantação.
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.