适用于 Microsoft Sentinel 的 Infoblox SOC Insight Data Connector via REST API 连接器

利用 Infoblox SOC Insight Data Connector，可以轻松地将 Infoblox BloxOne SOC Insight 数据与 Microsoft Sentinel 相连接。 通过将日志连接到 Microsoft Sentinel，可以针对每个日志使用搜索和关联、警报以及威胁情报扩充功能。

这是自动生成的内容。 有关更改，请联系解决方案提供商。

连接器属性

查询示例

返回所有涉及 DNS 隧道的日志

InfobloxInsight_CL

| where threatType_s == "DNS Tunneling"

返回所有涉及配置问题的日志

InfobloxInsight_CL

| where tClass_s == "TI-CONFIGURATIONISSUE"

返回关键优先级见解的计数

InfobloxInsight_CL

| where priorityText_s == "CRITICAL"

| summarize dcount(insightId_g) by priorityText_s

按 ThreatClass 返回每个传播见解

InfobloxInsight_CL

| where isnotempty(spreadingDate_t)

| summarize dcount(insightId_g) by tClass_s

按 ThreatFamily 返回每个见解

InfobloxInsight_CL

| 
| summarize dcount(insightId_g) by tFamily_s

供应商安装说明

工作区密钥

为了将 playbook 用作此解决方案的一部分，请在下面找到你的“工作区 ID”和“工作区主密钥”，以方便使用。

工作区密钥

分析器

此数据连接器依赖于基于 Kusto 函数的分析程序按预期运行，该函数名为 InfobloxInsight，与 Microsoft Sentinel 解决方案一起部署。

SOC Insights

此数据连接器假定你有权访问 Infoblox BloxOne Threat Defense SOC Insights。 可以在此处找到有关 SOC Insights 的更多信息。

按照以下步骤配置此数据连接器

后续步骤

有关详细信息，请转到 Azure 市场中的相关解决方案。