[Recommandé] Infoblox Cloud Data Connector via le connecteur AMA pour Microsoft Sentinel
Le connecteur de données cloud Infoblox vous permet de connecter facilement vos données Infoblox à Microsoft Sentinel. En connectant vos journaux à Microsoft Sentinel, vous pouvez profiter de la recherche et de la corrélation, des alertes et de l'enrichissement des renseignements sur les menaces pour chaque journal.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | CommonSecurityLog |
| Prise en charge des règles de collecte de données | Règles de collecte de données pour la transformation de l’espace de travail |
| Pris en charge par | Infoblox |
Exemples de requête
Renvoyez tous les journaux de requêtes/réponses DNS bloqués
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
Renvoyez tous les journaux de requêtes/réponses DNS
CommonSecurityLog
| where DeviceEventClassID has_cs "DNS"
Renvoyez tous les journaux de requêtes/réponses DHCP
CommonSecurityLog
| where DeviceEventClassID has_cs "DHCP"
Renvoyez tous les journaux de service Requêtes/Réponses
CommonSecurityLog
| where DeviceEventClassID has_cs "Service"
Renvoyez tous les journaux de requêtes/réponses d'audit
CommonSecurityLog
| where DeviceEventClassID has_cs "Audit"
Retourner tous les journaux d’événements de sécurité des filtres de catégorie
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| where AdditionalExtensions has_cs "InfobloxRPZ=CAT_"
Retourner tous les journaux des événements de sécurité des filtres d’application
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| where AdditionalExtensions has_cs "InfobloxRPZ=APP_"
Retourner le nombre d’accès des 10 principaux domaines TD
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| summarize count() by DestinationDnsDomain
| top 10 by count_ desc
Retourner le nombre d’accès des 10 principales IP sources
CommonSecurityLog
| where DeviceEventClassID has_cs "RPZ"
| summarize count() by SourceIP
| top 10 by count_ desc
Retourner les baux DHCP récemment créés
CommonSecurityLog
| where DeviceEventClassID == "DHCP-LEASE-CREATE"
Instructions d’installation du fournisseur
IMPORTANT : Ce connecteur de données Microsoft Sentinel suppose qu'un hôte de connecteur de données Infoblox a déjà été créé et configuré dans le portail de services cloud Infoblox (CSP). Étant donné que le connecteur de données Infoblox est une fonctionnalité de Threat Defense, l'accès à un abonnement Threat Defense approprié est requis. Consultez ce guide de démarrage rapide pour plus d’informations et pour connaître les exigences de licence.
- Configuration de l’agent Syslog Linux
Installez et configurez l’agent Linux pour collecter vos messages Syslog au format CEF (Common Event Format) et les transférer à Microsoft Sentinel.
Notez que les données de toutes les régions seront stockées dans l’espace de travail sélectionné
1.1 Sélectionner ou créer une machine Linux
Sélectionnez ou créez une machine Linux qui sera utilisée par Microsoft Sentinel comme proxy entre votre solution de sécurité et Microsoft Sentinel. Cette machine peut se trouver dans votre environnement local, dans Azure ou dans d’autres clouds.
1.2 Installer le collecteur CEF sur la machine Linux
Installez Microsoft Monitoring Agent sur votre ordinateur Linux et configurez l’ordinateur pour écouter sur le port nécessaire et transférer les messages vers votre espace de travail Microsoft Sentinel. Le collecteur CEF collecte les messages CEF sur le port 514 TCP.
- Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version.
- Vous devez disposer d’autorisations élevées (sudo) sur votre machine.
Exécutez la commande suivante pour installer et appliquer le collecteur CEF :
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Configurer Infoblox pour envoyer des données Syslog au connecteur de données cloud Infoblox pour les transmettre à l'agent Syslog
Suivez les étapes ci-dessous pour configurer Infoblox CDC pour envoyer des données à Microsoft Sentinel via l'agent Linux Syslog.
- Accédez à Manage > Data Connector.
- Cliquez sur l’onglet Destination Configuration en haut.
- Cliquez sur Create > Syslog.
- Name : donnez un nom explicite à la nouvelle destination, par exemple Microsoft-Sentinel-Destination.
- Description : donnez-lui éventuellement une description explicite.
- State : définissez l’état sur Enabled.
- Format : définissez le format sur CEF
- FQDN/IP : entrez l’adresse IP de l’appareil Linux sur lequel l’agent Linux est installé.
- Port : laissez le numéro de port sur 514.
- Protocol : sélectionnez le protocole souhaité, et le certificat d’autorité de certification le cas échéant.
- Cliquez sur Enregistrer et fermer.
- Cliquez sur l’onglet Traffic Flow Configuration en haut.
- Cliquez sur Créer.
- Name : donnez au nouveau flux de trafic un nom explicite, par exemple Microsoft-Sentinel-Flow.
- Description : donnez-lui éventuellement une description explicite.
- State : définissez l’état sur Enabled.
- Développez la section Instance de service.
- Instance de service : sélectionnez l’instance de service souhaitée pour laquelle le service Data Connector est activé.
- Développez la section Source Configuration.
- Source : sélectionnez BloxOne Cloud Source.
- Sélectionnez tous les types de journaux souhaités que vous souhaitez collecter. Les types de journaux actuellement pris en charge sont les suivants :
- Journal des requêtes/réponses de défense contre les menaces
- Journal des accès aux flux de menaces de défense contre les menaces
- Journal des requêtes/réponses DDI
- Journal des baux DHCP DDI
- Développez la section Destination Configuration.
- Sélectionnez la Destination que vous venez de créer.
- Cliquez sur Enregistrer et fermer.
Laissez le temps à la configuration de s’activer.
Valider la connexion
Suivez les instructions pour valider votre connectivité :
Ouvrez Log Analytics pour vous assurer que les journaux sont reçus à l’aide du schéma CommonSecurityLog.
Il faut environ 20 minutes pour que la connexion diffuse des données dans votre espace de travail.
Si les journaux ne sont pas reçus, exécutez le script de validation de connectivité suivant :
- Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version
- Vous devez disposer d’autorisations élevées (sudo) sur votre machine
Exécutez la commande suivante pour valider votre connectivité :
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Sécuriser votre machine
Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organisation
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.