Microsoft Sentinel için REST API (Azure İşlevleri kullanarak) bağlayıcısı aracılığıyla Infoblox Veri Bağlayıcısı

  • Makale

Infoblox Veri Bağlayıcısı, Infoblox TIDE verilerinizi ve Dossier verilerinizi Microsoft Sentinel ile kolayca bağlamanızı sağlar. Verilerinizi Microsoft Sentinel'e bağlayarak, her günlük için arama ve bağıntı, uyarı ve tehdit bilgileri zenginleştirme avantajlarından yararlanabilirsiniz.

Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.

Bağlayıcı öznitelikleri

Bağlayıcı özniteliği Açıklama
Log Analytics tabloları Failed_Range_To_Ingest_CL
Infoblox_Failed_Indicators_CL
dossier_whois_CL
dossier_tld_risk_CL
dossier_threat_actor_CL
dossier_rpz_feeds_records_CL
dossier_rpz_feeds_CL
dossier_nameserver_matches_CL
dossier_nameserver_CL
dossier_malware_analysis_v3_CL
dossier_inforank_CL
dossier_infoblox_web_cat_CL
dossier_geo_CL
dossier_dns_CL
dossier_atp_threat_CL
dossier_atp_CL
dossier_ptr_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Infoblox

Sorgu örnekleri

Başarısız Gösterge zaman aralığı alındı

Failed_Range_To_Ingest_CL

| sort by TimeGenerated desc

Başarısız Göstergeler Aralık Verileri

Infoblox_Failed_Indicators_CL

| sort by TimeGenerated desc

Dossier whois veri kaynağı

dossier_whois_CL

| sort by TimeGenerated desc

Dossier tld risk veri kaynağı

dossier_tld_risk_CL

| sort by TimeGenerated desc

Dossier threat actor veri kaynağı

dossier_threat_actor_CL

| sort by TimeGenerated desc

Dossier rpz akışları veri kaynağını kaydeder

dossier_rpz_feeds_records_CL

| sort by TimeGenerated desc

Dossier rpz akışları veri kaynağı

dossier_rpz_feeds_CL

| sort by TimeGenerated desc

Dossier ad sunucusu veri kaynağıyla eşleşir

dossier_nameserver_matches_CL

| sort by TimeGenerated desc

Dossier ad sunucusu veri kaynağı

dossier_nameserver_CL

| sort by TimeGenerated desc

Dossier kötü amaçlı yazılım analizi v3 veri kaynağı

dossier_malware_analysis_v3_CL

| sort by TimeGenerated desc

Dossier inforank veri kaynağı

dossier_inforank_CL

| sort by TimeGenerated desc

Dossier infoblox web cat veri kaynağı

dossier_infoblox_web_cat_CL

| sort by TimeGenerated desc

Dossier coğrafi veri kaynağı

dossier_geo_CL

| sort by TimeGenerated desc

Dossier dns veri kaynağı

dossier_dns_CL

| sort by TimeGenerated desc

Dossier atp tehdit veri kaynağı

dossier_atp_threat_CL

| sort by TimeGenerated desc

Dossier atp veri kaynağı

dossier_atp_CL

| sort by TimeGenerated desc

Dossier ptr veri kaynağı

dossier_ptr_CL

| sort by TimeGenerated desc

Önkoşullar

REST API aracılığıyla Infoblox Veri Bağlayıcısı ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:

  • Azure Aboneliği: Bir uygulamayı Microsoft Entra Id'ye kaydetmek ve kaynak grubundaki uygulamaya katkıda bulunan rolü atamak için sahip rolüne sahip Azure Aboneliği gereklidir.
  • Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
  • REST API Kimlik Bilgileri/izinleri: Infoblox API Anahtarı gereklidir. Rest API başvurusunda API hakkında daha fazla bilgi edinmek için belgelere bakın

Satıcı yükleme yönergeleri

Not

Bu bağlayıcı, TIDE için Tehdit Göstergeleri oluşturmak ve Dossier verilerini Microsoft Sentinel'e çekmek üzere Infoblox API'sine bağlanmak için Azure İşlevleri kullanır. Bu ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Azure Key Vault'ta çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlev Uygulaması ile kullanmak için bu yönergeleri izleyin.

ADIM 1 - Microsoft Entra Id'de Uygulama için Uygulama Kaydı adımları

Bu tümleştirme için Azure portalında bir Uygulama kaydı gerekir. Microsoft Entra Id'de yeni bir uygulama oluşturmak için bu bölümdeki adımları izleyin:

  1. Azure Portal’ında oturum açın.
  2. Microsoft Entra ID öğesini arayıp seçin.
  3. Yönet'in altında Yeni kayıt Uygulama kayıtları'ı > seçin.
  4. Uygulamanız için bir görünen Ad girin.
  5. İlk uygulama kaydını tamamlamak için Kaydet'i seçin.
  6. Kayıt tamamlandığında, Azure portalı uygulama kaydının Genel Bakış bölmesini görüntüler. Uygulama (istemci) Kimliği ve Kiracı Kimliği'ni görürsünüz. İstemci kimliği ve Kiracı Kimliği, TriggersSync playbook'unun yürütülmesi için yapılandırma parametreleri olarak gereklidir.

Başvuru bağlantısı: /azure/active-directory/develop/quickstart-register-app

ADIM 2 - Microsoft Entra Id'de uygulama için istemci gizli dizisi ekleme

Bazen uygulama parolası olarak da adlandırılan istemci gizli dizisi, TriggersSync playbook'unun yürütülmesi için gereken bir dize değeridir. Yeni bir gizli dizi oluşturmak için bu bölümdeki adımları izleyin:

  1. Azure portalındaki Uygulama kayıtları uygulamanızı seçin.
  2. Sertifikalar ve gizli diziler İstemci gizli > dizileri > Yeni istemci gizli dizisi'ni seçin.
  3. İstemci gizli diziniz için bir açıklama ekleyin.
  4. Gizli dizi için bir süre sonu seçin veya özel bir yaşam süresi belirtin. Sınır 24 aydır.
  5. Ekle'yi seçin.
  6. Gizli anahtarın değerini istemci uygulama kodunuzda kullanmak üzere kaydedin. Bu sayfadan ayrıldıktan sonra bu gizli anahtar değeri hiçbir zaman görüntülenmez. Gizli dizi değeri, TriggersSync playbook'unun yürütülmesi için yapılandırma parametresi olarak gereklidir.

Başvuru bağlantısı: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ADIM 3 - Microsoft Entra Id'de uygulamaya Katkıda Bulunan rolü atama

Rolü atamak için bu bölümdeki adımları izleyin:

  1. Azure portalında Kaynak Grubu'na gidin ve kaynak grubunuzu seçin.
  2. Sol panelden Erişim denetimine (IAM) gidin.
  3. Ekle'ye tıklayın ve rol ataması ekle'yi seçin.
  4. Rol olarak Katkıda Bulunan'ı seçin ve İleri'ye tıklayın.
  5. Erişim ata bölümünde öğesini seçinUser, group, or service principal.
  6. Üye ekle'ye tıklayın, oluşturduğunuz uygulama adınızı yazın ve seçin.
  7. Şimdi Gözden Geçir + ata'ya tıklayın ve sonra yeniden Gözden Geçir + ata'ya tıklayın.

Başvuru bağlantısı: /azure/role-based-access-control/role-assignments-portal

ADIM 4 - Infoblox API Kimlik Bilgilerini oluşturma adımları

Infoblox API Anahtarı oluşturmak için bu yönergeleri izleyin. Infoblox Cloud Services Portalı'nda bir API Anahtarı oluşturun ve sonraki adımda güvenli bir yere kopyalayın. API anahtarları oluşturma yönergelerini burada bulabilirsiniz.

5. ADIM - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtma adımları

ÖNEMLİ: Infoblox veri bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı (aşağıdakilerden kopyalanabilir) kullanılabilir... ve Infoblox API Yetkilendirme Kimlik Bilgileri'ne sahip olun

Azure Resource Manager (ARM) Şablonu

Infoblox Veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

  1. Aşağıdaki Azure'a Dağıt düğmesine tıklayın.

    Azure'a Dağıt

  2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

  3. Aşağıdaki bilgileri girin: Azure Kiracı Kimliği Azure İstemci Kimliği Azure İstemciSi Infoblox API Belirteci Infoblox Temel URL Çalışma Alanı Kimliği Çalışma Alanı Anahtar Günlük Düzeyi (Varsayılan: BİlGİ) Güvenilirlik Tehdit Düzeyi App Insights Çalışma Alanı Kaynak Kimliği

  4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

  5. Dağıtmak için Satın Al'a tıklayın.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.