Infoblox SOC Insight Data Connector [Recomendado] por meio do conector AMA para Microsoft Sentinel
O Infoblox SOC Insight Data Connector permite que você conecte facilmente seus dados do Infoblox BloxOne SOC Insight com o Microsoft Sentinel. Ao conectar logs ao Microsoft Sentinel, você pode aproveitar a pesquisa e correlação, alertas e o enriquecimento da inteligência contra ameaças para cada log.
Esse conector de dados ingere logs do Infoblox SOC Insight CDC no workspace do Log Analytics usando o novo agente do Azure Monitor. Saiba mais sobre como ingerir usando o novo Agente do Azure Monitor aqui. A Microsoft recomenda usar esse Conector de Dados.
Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | CommonSecurityLog (InfobloxCDC_SOCInsights) |
| Suporte às regras de coleta de dados | DCR de transformação do espaço de trabalho |
| Com suporte por | Infoblox |
Exemplos de consulta
Retornar todos os logs envolvendo túnel DNS
InfobloxCDC_SOCInsights
| where ThreatType == "DNS Tunneling"
Retornar todos os logs que envolvem um problema de configuração
InfobloxCDC_SOCInsights
| where ThreatClass == "TI-CONFIGURATIONISSUE"
Retornar todos os logs de alto nível de ameaça
InfobloxCDC_SOCInsights
| where ThreatLevel == "High"
Retornar os logs de status gerados
InfobloxCDC_SOCInsights
| where Status == "RAISED"
Retornar os logs envolvendo uma grande quantidade de acessos DNS desbloqueados
InfobloxCDC_SOCInsights
| where NotBlockedCount >= 100
Retornar cada Insight por ThreatFamily
InfobloxCDC_SOCInsights
| summarize dcount(InfobloxInsightID) by ThreatFamily
Pré-requisitos
Para integrar com o Infoblox SOC Insight Data Connector [Recomendado] por meio do AMA, verifique se você tem:
- ****: para coletar dados de VMs que não são do Azure, elas precisam ter o Azure Arc instalado e habilitado. Saiba mais
- ****: o CEF (Formato Comum de Evento) por meio do AMA e o Syslog por meio de conectores de dados do AMA devem ser instalados. Saiba mais
Instruções de instalação do fornecedor
Chaves do workspace
Para usar os guias estratégicos como parte desta solução, encontre seu ID do Workspace e Chave Primária do Workspace abaixo para sua conveniência.
Chave do espaço de trabalho
Analisadores
Esse conector de dados depende de um analisador baseado em uma Função do Kusto para funcionar conforme o esperado, chamado InfobloxCDC_SOCInsights, que é implantado com a Solução Microsoft Sentinel.
SOC Insights
Esse conector de dados pressupõe que você tenha acesso ao Infoblox BloxOne Threat Defense SOC Insights. Você pode encontrar mais informações sobre o SOC Insights aqui.
Infoblox Cloud Data Connector
Esse conector de dados pressupõe que um host do Infoblox Data Connector já foi criado e configurado no Portal de Serviços de Nuvem (CSP) do Infoblox. Como o Infoblox Data Connector é um recurso da Defesa contra Ameaças BloxOne, é necessário acesso a uma assinatura apropriada da Defesa contra Ameaças BloxOne. Confira este guia de início rápido para obter mais informações e requisitos de licenciamento.
- Proteja seu computador
Certifique-se de configurar a segurança do computador de acordo com a política de segurança da sua organização
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.