[Recommandé] Connecteur Infoblox SOC Insight Data Connector via AMA pour Microsoft Sentinel
Le connecteur Infoblox SOC Insight Data Connector vous permet de connecter facilement vos données Infoblox BloxOne SOC Insight à Microsoft Sentinel. En connectant vos journaux à Microsoft Sentinel, vous pouvez profiter de la recherche et de la corrélation, des alertes et de l’enrichissement de la veille des menaces pour chaque journal.
Ce connecteur de données ingère les journaux Infoblox SOC Insight CDC dans votre espace de travail Log Analytics en tirant parti du nouvel agent Azure Monitor. Découvrez plus d’informations sur l’ingestion en utilisant le nouvel agent Azure Monitor ici. Microsoft recommande l’utilisation de ce connecteur de données.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | CommonSecurityLog (InfobloxCDC_SOCInsights) |
| Prise en charge des règles de collecte de données | Règles de collecte de données pour la transformation de l’espace de travail |
| Pris en charge par | Infoblox |
Exemples de requête
Retourner tous les journaux impliquant le tunneling DNS
InfobloxCDC_SOCInsights
| where ThreatType == "DNS Tunneling"
Retourner tous les journaux impliquant un problème de configuration
InfobloxCDC_SOCInsights
| where ThreatClass == "TI-CONFIGURATIONISSUE"
Retourner tous les journaux au niveau des menaces élevées
InfobloxCDC_SOCInsights
| where ThreatLevel == "High"
Retourner les journaux d’état déclenchés
InfobloxCDC_SOCInsights
| where Status == "RAISED"
Retourner les journaux impliquant un nombre élevé d’accès DNS non bloqués
InfobloxCDC_SOCInsights
| where NotBlockedCount >= 100
Retourner chaque insight par ThreatFamily
InfobloxCDC_SOCInsights
| summarize dcount(InfobloxInsightID) by ThreatFamily
Prérequis
Pour l’intégration à [Recommandé] Infoblox SOC Insight Data Connector via AMA, veillez à avoir ce qui suit :
- **** : Pour collecter des données à partir de machines virtuelles en dehors d’Azure, Azure Arc doit être installé et activé. En savoir plus
- ****: les connecteurs de données Common Event Format (CEF) via AMA et Syslog via AMA doivent être installés. En savoir plus
Instructions d’installation du fournisseur
Clés d’espace de travail
Pour pouvoir utiliser les playbooks dans le cadre de cette solution, vous avez besoin de votre ID d’espace de travail et de votre Clé primaire d’espace de travail, que vous pouvez trouver ci-dessous.
Clé d'espace de travail
Analyseurs
Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu, nommé InfobloxCDC_SOCInsights, qui est déployé avec la Solution Microsoft Sentinel.
SOC Insights
Ce connecteur de données suppose que vous avez accès à Infoblox BloxOne Threat Defense SOC Insights. Vous trouverez plus d’informations sur SOC Insights ici.
Infoblox Cloud Data Connector
Ce connecteur de données suppose qu’un hôte de connecteur de données Infoblox a déjà été créé et configuré dans le portail Infoblox Cloud Services Portal (CSP). Le connecteur de données Infoblox Cloud étant une fonctionnalité de BloxOne Threat Defense, l’accès à un abonnement BloxOne Threat Defense approprié est requis. Consultez ce guide de démarrage rapide pour plus d’informations et pour connaître les exigences de licence.
- Sécuriser votre machine
Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organisation
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.