Connecteur Infoblox Cloud Data pour Microsoft Sentinel

Le connecteur Infoblox Cloud Data vous permet de connecter facilement vos données Infoblox BloxOne à Microsoft Sentinel. En connectant vos journaux à Microsoft Sentinel, vous pouvez tirer parti de la recherche et de la corrélation, des alertes et de l’enrichissement des informations sur les menaces pour chaque journal.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics CommonSecurityLog (InfobloxCDC)
Prise en charge des règles de collecte de données Règles de collecte de données pour la transformation de l’espace de travail
Pris en charge par InfoBlox

Exemples de requête

Retourner tous les journaux des événements de sécurité BloxOne Threat Defense (TD)

InfobloxCDC

| where DeviceEventClassID has_cs "RPZ"

Retourner tous les journaux de requête/réponse BloxOne

InfobloxCDC

| where DeviceEventClassID has_cs "DNS"

Retourner tous les journaux d’événements de sécurité des filtres de catégorie

InfobloxCDC

| where DeviceEventClassID has_cs "RPZ"

| where AdditionalExtensions has_cs "InfobloxRPZ=CAT_"

Retourner tous les journaux des événements de sécurité des filtres d’application

InfobloxCDC

| where DeviceEventClassID has_cs "RPZ"

| where AdditionalExtensions has_cs "InfobloxRPZ=APP_"

Retourner le nombre d’accès des 10 principaux domaines TD

InfobloxCDC

| where DeviceEventClassID has_cs "RPZ" 

| summarize count() by DestinationDnsDomain 

| top 10 by count_ desc

Retourner le nombre d’accès des 10 principales IP sources

InfobloxCDC

| where DeviceEventClassID has_cs "RPZ" 

| summarize count() by SourceIP 

| top 10 by count_ desc

Retourner les baux DHCP récemment créés

InfobloxCDC

| where DeviceEventClassID == "DHCP-LEASE-CREATE"

Instructions d’installation du fournisseur

Important

Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu, nommé InfobloxCDC, qui est déployé avec la solution.

Important

Ce connecteur de données Microsoft Sentinel part du principe qu’un hôte de connecteur Infoblox Cloud Data a déjà été créé et configuré dans le portail Infoblox Services cloud (CSP). Le connecteur Infoblox Cloud Data étant une fonctionnalité de BloxOne Threat Defense, l’accès à un abonnement BloxOne Threat Defense approprié est requis. Consultez ce guide de démarrage rapide pour plus d’informations et pour connaître les exigences de licence.

  1. Configuration de l’agent Syslog Linux

Installez et configurez l’agent Linux pour collecter vos messages Syslog au format CEF (Common Event Format) et les transférer à Microsoft Sentinel.

Notez que les données de toutes les régions seront stockées dans l’espace de travail sélectionné

1.1 Sélectionner ou créer une machine Linux

Sélectionnez ou créez une machine Linux qui sera utilisée par Microsoft Sentinel comme proxy entre votre solution de sécurité et Microsoft Sentinel. Cette machine peut se trouver dans votre environnement local, dans Microsoft Sentinel ou dans d’autres clouds.

1.2 Installer le collecteur CEF sur la machine Linux

Installez Microsoft Monitoring Agent sur votre ordinateur Linux et configurez l’ordinateur pour écouter sur le port nécessaire et transférer les messages vers votre espace de travail Microsoft Sentinel. Le collecteur CEF collecte les messages CEF sur le port 514 TCP.

  1. Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version.
  1. Vous devez disposer d’autorisations élevées (sudo) sur votre machine.

Exécutez la commande suivante pour installer et appliquer le collecteur CEF :

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Configurer Infoblox BloxOne pour envoyer des données Syslog au connecteur Infoblox Cloud Data afin de les transférer à l’agent Syslog

Suivez les étapes ci-dessous pour configurer le connecteur Infoblox Cloud Data de façon à envoyer des données BloxOne à Microsoft Sentinel via l’agent Syslog Linux.

  1. Accédez à Manage > Data Connector.

  2. Cliquez sur l’onglet Destination Configuration en haut.

  3. Cliquez sur Create > Syslog.

    • Name : donnez un nom explicite à la nouvelle destination, par exemple Microsoft-Sentinel-Destination.
    • Description : donnez-lui éventuellement une description explicite.
    • State : définissez l’état sur Enabled.
    • Format : définissez le format sur CEF
    • FQDN/IP : entrez l’adresse IP de l’appareil Linux sur lequel l’agent Linux est installé.
    • Port : laissez le numéro de port sur 514.
    • Protocol : sélectionnez le protocole souhaité, et le certificat d’autorité de certification le cas échéant.
    • Cliquez sur Enregistrer et fermer.
  4. Cliquez sur l’onglet Traffic Flow Configuration en haut.

  5. Cliquez sur Créer.

    • Name : donnez au nouveau flux de trafic un nom explicite, par exemple Microsoft-Sentinel-Flow.
    • Description : donnez-lui éventuellement une description explicite.
    • State : définissez l’état sur Enabled.
    • Développez la section CDC Enabled Host.
    • On-Prem Host : sélectionnez l’hôte local de votre choix pour lequel le service Data Connector est activé.
    • Développez la section Source Configuration.
    • Source : sélectionnez BloxOne Cloud Source.
    • Sélectionnez tous les types de journaux souhaités que vous souhaitez collecter. Actuellement, les types de journaux pris en charge sont les suivants :
      • Journal des requêtes/réponses de défense contre les menaces
      • Journal des accès aux flux de menaces de défense contre les menaces
      • Journal des requêtes/réponses DDI
      • Journal des baux DHCP DDI
    • Développez la section Destination Configuration.
    • Sélectionnez la Destination que vous venez de créer.
    • Cliquez sur Enregistrer et fermer.
  6. Laissez le temps à la configuration de s’activer.

  7. Valider la connexion

Suivez les instructions pour valider votre connectivité :

Ouvrez Log Analytics pour vous assurer que les journaux sont reçus à l’aide du schéma CommonSecurityLog.

Il faut environ 20 minutes pour que la connexion diffuse des données dans votre espace de travail.

Si les journaux ne sont pas reçus, exécutez le script de validation de connectivité suivant :

  1. Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version
  1. Vous devez disposer d’autorisations élevées (sudo) sur votre machine

Exécutez la commande suivante pour valider votre connectivité :

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Sécuriser votre machine

Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organisation

En savoir plus >

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.