Lire en anglais

Partager via

[Recommandé] Infoblox Cloud Data Connector via le connecteur AMA pour Microsoft Sentinel

  • Article

Le connecteur de données cloud Infoblox vous permet de connecter facilement vos données Infoblox à Microsoft Sentinel. En connectant vos journaux à Microsoft Sentinel, vous pouvez profiter de la recherche et de la corrélation, des alertes et de l'enrichissement des renseignements sur les menaces pour chaque journal.

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics CommonSecurityLog
Prise en charge des règles de collecte de données Règles de collecte de données pour la transformation de l’espace de travail
Pris en charge par Infoblox

Exemples de requête

Renvoyez tous les journaux de requêtes/réponses DNS bloqués

Kusto 
CommonSecurityLog

| where DeviceEventClassID has_cs "RPZ"

Renvoyez tous les journaux de requêtes/réponses DNS

Kusto 
CommonSecurityLog

| where DeviceEventClassID has_cs "DNS"

Renvoyez tous les journaux de requêtes/réponses DHCP

Kusto 
CommonSecurityLog

| where DeviceEventClassID has_cs "DHCP"

Renvoyez tous les journaux de service Requêtes/Réponses

Kusto 
CommonSecurityLog

| where DeviceEventClassID has_cs "Service"

Renvoyez tous les journaux de requêtes/réponses d'audit

Kusto 
CommonSecurityLog

| where DeviceEventClassID has_cs "Audit"

Retourner tous les journaux d’événements de sécurité des filtres de catégorie

Kusto 
CommonSecurityLog

| where DeviceEventClassID has_cs "RPZ"

| where AdditionalExtensions has_cs "InfobloxRPZ=CAT_"

Retourner tous les journaux des événements de sécurité des filtres d’application

Kusto 
CommonSecurityLog

| where DeviceEventClassID has_cs "RPZ"

| where AdditionalExtensions has_cs "InfobloxRPZ=APP_"

Retourner le nombre d’accès des 10 principaux domaines TD

Kusto 
CommonSecurityLog

| where DeviceEventClassID has_cs "RPZ" 

| summarize count() by DestinationDnsDomain 

| top 10 by count_ desc

Retourner le nombre d’accès des 10 principales IP sources

Kusto 
CommonSecurityLog

| where DeviceEventClassID has_cs "RPZ" 

| summarize count() by SourceIP 

| top 10 by count_ desc

Retourner les baux DHCP récemment créés

Kusto 
CommonSecurityLog

| where DeviceEventClassID == "DHCP-LEASE-CREATE"

Instructions d’installation du fournisseur

IMPORTANT : Ce connecteur de données Microsoft Sentinel suppose qu'un hôte de connecteur de données Infoblox a déjà été créé et configuré dans le portail de services cloud Infoblox (CSP). Étant donné que le connecteur de données Infoblox est une fonctionnalité de Threat Defense, l'accès à un abonnement Threat Defense approprié est requis. Consultez ce guide de démarrage rapide pour plus d’informations et pour connaître les exigences de licence.

  1. Configuration de l’agent Syslog Linux

Installez et configurez l’agent Linux pour collecter vos messages Syslog au format CEF (Common Event Format) et les transférer à Microsoft Sentinel.

Notez que les données de toutes les régions seront stockées dans l’espace de travail sélectionné

1.1 Sélectionner ou créer une machine Linux

Sélectionnez ou créez une machine Linux qui sera utilisée par Microsoft Sentinel comme proxy entre votre solution de sécurité et Microsoft Sentinel. Cette machine peut se trouver dans votre environnement local, dans Azure ou dans d’autres clouds.

1.2 Installer le collecteur CEF sur la machine Linux

Installez Microsoft Monitoring Agent sur votre ordinateur Linux et configurez l’ordinateur pour écouter sur le port nécessaire et transférer les messages vers votre espace de travail Microsoft Sentinel. Le collecteur CEF collecte les messages CEF sur le port 514 TCP.

  1. Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version.
  1. Vous devez disposer d’autorisations élevées (sudo) sur votre machine.

Exécutez la commande suivante pour installer et appliquer le collecteur CEF :

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Configurer Infoblox pour envoyer des données Syslog au connecteur de données cloud Infoblox pour les transmettre à l'agent Syslog

Suivez les étapes ci-dessous pour configurer Infoblox CDC pour envoyer des données à Microsoft Sentinel via l'agent Linux Syslog.

  1. Accédez à Manage > Data Connector.
  2. Cliquez sur l’onglet Destination Configuration en haut.
  3. Cliquez sur Create > Syslog.
  • Name : donnez un nom explicite à la nouvelle destination, par exemple Microsoft-Sentinel-Destination.
  • Description : donnez-lui éventuellement une description explicite.
  • State : définissez l’état sur Enabled.
  • Format : définissez le format sur CEF
  • FQDN/IP : entrez l’adresse IP de l’appareil Linux sur lequel l’agent Linux est installé.
  • Port : laissez le numéro de port sur 514.
  • Protocol : sélectionnez le protocole souhaité, et le certificat d’autorité de certification le cas échéant.
  • Cliquez sur Enregistrer et fermer.
  1. Cliquez sur l’onglet Traffic Flow Configuration en haut.
  2. Cliquez sur Créer.
  • Name : donnez au nouveau flux de trafic un nom explicite, par exemple Microsoft-Sentinel-Flow.
  • Description : donnez-lui éventuellement une description explicite.
  • State : définissez l’état sur Enabled.
  • Développez la section Instance de service.
    • Instance de service : sélectionnez l’instance de service souhaitée pour laquelle le service Data Connector est activé.
  • Développez la section Source Configuration.
    • Source : sélectionnez BloxOne Cloud Source.
    • Sélectionnez tous les types de journaux souhaités que vous souhaitez collecter. Les types de journaux actuellement pris en charge sont les suivants :
      • Journal des requêtes/réponses de défense contre les menaces
      • Journal des accès aux flux de menaces de défense contre les menaces
      • Journal des requêtes/réponses DDI
      • Journal des baux DHCP DDI
  • Développez la section Destination Configuration.
    • Sélectionnez la Destination que vous venez de créer.
  • Cliquez sur Enregistrer et fermer.

  1. Laissez le temps à la configuration de s’activer.

  2. Valider la connexion

Suivez les instructions pour valider votre connectivité :

Ouvrez Log Analytics pour vous assurer que les journaux sont reçus à l’aide du schéma CommonSecurityLog.

Il faut environ 20 minutes pour que la connexion diffuse des données dans votre espace de travail.

Si les journaux ne sont pas reçus, exécutez le script de validation de connectivité suivant :

  1. Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version
  1. Vous devez disposer d’autorisations élevées (sudo) sur votre machine

Exécutez la commande suivante pour valider votre connectivité :

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Sécuriser votre machine

Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organisation

En savoir plus >

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.