Lire en anglais

Partager via


[Recommandé] Connecteur Infoblox SOC Insight Data Connector via AMA pour Microsoft Sentinel

Le connecteur Infoblox SOC Insight Data Connector vous permet de connecter facilement vos données Infoblox BloxOne SOC Insight à Microsoft Sentinel. En connectant vos journaux à Microsoft Sentinel, vous pouvez profiter de la recherche et de la corrélation, des alertes et de l’enrichissement de la veille des menaces pour chaque journal.

Ce connecteur de données ingère les journaux Infoblox SOC Insight CDC dans votre espace de travail Log Analytics en tirant parti du nouvel agent Azure Monitor. Découvrez plus d’informations sur l’ingestion en utilisant le nouvel agent Azure Monitor ici. Microsoft recommande l’utilisation de ce connecteur de données.

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics CommonSecurityLog (InfobloxCDC_SOCInsights)
Prise en charge des règles de collecte de données Règles de collecte de données pour la transformation de l’espace de travail
Pris en charge par Infoblox

Exemples de requête

Retourner tous les journaux impliquant le tunneling DNS

InfobloxCDC_SOCInsights

| where ThreatType == "DNS Tunneling"

Retourner tous les journaux impliquant un problème de configuration

InfobloxCDC_SOCInsights

| where ThreatClass == "TI-CONFIGURATIONISSUE"

Retourner tous les journaux au niveau des menaces élevées

InfobloxCDC_SOCInsights

| where ThreatLevel == "High"

Retourner les journaux d’état déclenchés

InfobloxCDC_SOCInsights

| where Status == "RAISED"

Retourner les journaux impliquant un nombre élevé d’accès DNS non bloqués

InfobloxCDC_SOCInsights

| where NotBlockedCount >= 100

Retourner chaque insight par ThreatFamily

InfobloxCDC_SOCInsights

| summarize dcount(InfobloxInsightID) by ThreatFamily

Prérequis

Pour l’intégration à [Recommandé] Infoblox SOC Insight Data Connector via AMA, veillez à avoir ce qui suit :

  • **** : Pour collecter des données à partir de machines virtuelles en dehors d’Azure, Azure Arc doit être installé et activé. En savoir plus
  • ****: les connecteurs de données Common Event Format (CEF) via AMA et Syslog via AMA doivent être installés. En savoir plus

Instructions d’installation du fournisseur

Clés d’espace de travail

Pour pouvoir utiliser les playbooks dans le cadre de cette solution, vous avez besoin de votre ID d’espace de travail et de votre Clé primaire d’espace de travail, que vous pouvez trouver ci-dessous.

Clé d'espace de travail

Analyseurs

Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu, nommé InfobloxCDC_SOCInsights, qui est déployé avec la Solution Microsoft Sentinel.

SOC Insights

Ce connecteur de données suppose que vous avez accès à Infoblox BloxOne Threat Defense SOC Insights. Vous trouverez plus d’informations sur SOC Insights ici.

Infoblox Cloud Data Connector

Ce connecteur de données suppose qu’un hôte de connecteur de données Infoblox a déjà été créé et configuré dans le portail Infoblox Cloud Services Portal (CSP). Le connecteur de données Infoblox Cloud étant une fonctionnalité de BloxOne Threat Defense, l’accès à un abonnement BloxOne Threat Defense approprié est requis. Consultez ce guide de démarrage rapide pour plus d’informations et pour connaître les exigences de licence.

  1. Sécuriser votre machine

Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organisation

En savoir plus >

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.