Sdílet prostřednictvím

[Zastaralé] Konektor Infoblox NIOS pro Microsoft Sentinel

  • Článek

Důležité

Shromažďování protokolů z mnoha zařízení a zařízení teď podporuje common event Format (CEF) prostřednictvím AMA, Syslogu přes AMA nebo vlastní protokoly prostřednictvím datového konektoru AMA v Microsoft Sentinelu. Další informace najdete v tématu Vyhledání datového konektoru služby Microsoft Sentinel.

Konektor Infoblox Network Identity Operating System (NIOS) umožňuje snadno připojit protokoly Infoblox NIOS k Microsoft Sentinelu, zobrazit řídicí panely, vytvářet vlastní výstrahy a zlepšovat šetření. Tím získáte lepší přehled o síti vaší organizace a zlepšíte možnosti operací zabezpečení.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

Atributy konektoru

Atribut konektoru Popis
Tabulky Log Analytics Syslog (InfobloxNIOS)
Podpora pravidel shromažďování dat Transformace pracovního prostoru – DCR
Podporováno Microsoft Corporation

Ukázky dotazů

Celkový počet podle typů zpráv požadavků DHCP

union isfuzzy=true 
Infoblox_dhcpdiscover,Infoblox_dhcprequest,Infoblox_dhcpinform 

| summarize count() by Log_Type

Prvních 5 zdrojových IP adres

Infoblox_dnsclient 

| summarize count() by SrcIpAddr 

| top 10 by count_ desc

Požadavky

Pokud chcete provést integraci s aplikací Infoblox NIOS, ujistěte se, že máte:

  • Infoblox NIOS: Musí být nakonfigurované pro export protokolů přes Syslog.

Pokyny k instalaci dodavatele

POZNÁMKA: Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání, která se nasadí jako součást řešení. Pokud chcete zobrazit kód funkce v Log Analytics, otevřete okno Protokoly Log Analytics/Microsoft Sentinel, klikněte na Functions a vyhledejte alias Infoblox a načtěte kód funkce nebo klikněte sem, na druhém řádku dotazu zadejte názvy hostitelů vašich zařízení Infoblox a všechny další jedinečné identifikátory pro logstream. Aktivace funkce obvykle trvá 10 až 15 minut po instalaci nebo aktualizaci řešení.

  1. Instalace a onboarding agenta pro Linux

Obvykle byste měli agenta nainstalovat do jiného počítače, než na kterém se protokoly generují.

Protokoly syslogu se shromažďují jenom z agentů Linuxu .

  1. Konfigurace protokolů, které se mají shromažďovat

Nakonfigurujte zařízení, která chcete shromažďovat, a jejich závažnosti.

  1. V části Konfigurace upřesňujícího nastavení pracovního prostoru vyberte Data a potom Syslog.

  2. Na moje počítače vyberte Použít následující konfiguraci a vyberte zařízení a závažnosti.

  3. Klikněte na Uložit.

  4. Konfigurace a připojení infoblox NIOS

Podle těchto pokynů povolte předávání syslogu protokolů Infoblox NIOS. Použijte IP adresu nebo název hostitele pro zařízení s Linuxem s agentem Linuxu nainstalovaným jako cílovou IP adresu.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.