[Recommandé] Infoblox Cloud Data Connector via le connecteur AMA pour Microsoft Sentinel
Article
Le connecteur de données cloud Infoblox vous permet de connecter facilement vos données Infoblox à Microsoft Sentinel. En connectant vos journaux à Microsoft Sentinel, vous pouvez profiter de la recherche et de la corrélation, des alertes et de l'enrichissement des renseignements sur les menaces pour chaque journal.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Renvoyez tous les journaux de requêtes/réponses DNS bloqués
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
Renvoyez tous les journaux de requêtes/réponses DNS
CommonSecurityLog
| where DeviceEventClassID has_cs "DNS"
Renvoyez tous les journaux de requêtes/réponses DHCP
CommonSecurityLog
| where DeviceEventClassID has_cs "DHCP"
Renvoyez tous les journaux de service Requêtes/Réponses
CommonSecurityLog
| where DeviceEventClassID has_cs "Service"
Renvoyez tous les journaux de requêtes/réponses d'audit
CommonSecurityLog
| where DeviceEventClassID has_cs "Audit"
Retourner tous les journaux d’événements de sécurité des filtres de catégorie
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| where AdditionalExtensions has_cs "InfobloxRPZ=CAT_"
Retourner tous les journaux des événements de sécurité des filtres d’application
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| where AdditionalExtensions has_cs "InfobloxRPZ=APP_"
Retourner le nombre d’accès des 10 principaux domaines TD
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| summarize count() by DestinationDnsDomain
| top 10 by count_ desc
Retourner le nombre d’accès des 10 principales IP sources
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| summarize count() by SourceIP
| top 10 by count_ desc
Retourner les baux DHCP récemment créés
CommonSecurityLog
| where DeviceEventClassID == "DHCP-LEASE-CREATE"
Instructions d’installation du fournisseur
IMPORTANT : Ce connecteur de données Microsoft Sentinel suppose qu'un hôte de connecteur de données Infoblox a déjà été créé et configuré dans le portail de services cloud Infoblox (CSP). Étant donné que le connecteur de données Infoblox est une fonctionnalité de Threat Defense, l'accès à un abonnement Threat Defense approprié est requis. Consultez ce guide de démarrage rapide pour plus d’informations et pour connaître les exigences de licence.
Configuration de l’agent Syslog Linux
Installez et configurez l’agent Linux pour collecter vos messages Syslog au format CEF (Common Event Format) et les transférer à Microsoft Sentinel.
Notez que les données de toutes les régions seront stockées dans l’espace de travail sélectionné
1.1 Sélectionner ou créer une machine Linux
Sélectionnez ou créez une machine Linux qui sera utilisée par Microsoft Sentinel comme proxy entre votre solution de sécurité et Microsoft Sentinel. Cette machine peut se trouver dans votre environnement local, dans Azure ou dans d’autres clouds.
1.2 Installer le collecteur CEF sur la machine Linux
Installez Microsoft Monitoring Agent sur votre ordinateur Linux et configurez l’ordinateur pour écouter sur le port nécessaire et transférer les messages vers votre espace de travail Microsoft Sentinel. Le collecteur CEF collecte les messages CEF sur le port 514 TCP.
Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version.
Vous devez disposer d’autorisations élevées (sudo) sur votre machine.
Exécutez la commande suivante pour installer et appliquer le collecteur CEF :