Partilhar via

Infoblox Data Connector via conector REST API (usando o Azure Functions) para Microsoft Sentinel

  • Artigo

O Infoblox Data Connector permite-lhe ligar facilmente os seus dados TIDE Infoblox e dados do dossiê com o Microsoft Sentinel. Ao conectar seus dados ao Microsoft Sentinel, você pode aproveitar a correlação de pesquisa e alerta, alerta e enriquecimento de inteligência de ameaças para cada log.

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics Failed_Range_To_Ingest_CL
Infoblox_Failed_Indicators_CL
dossier_whois_CL
dossier_tld_risk_CL
dossier_threat_actor_CL
dossier_rpz_feeds_records_CL
dossier_rpz_feeds_CL
dossier_nameserver_matches_CL
dossier_nameserver_CL
dossier_malware_analysis_v3_CL
dossier_inforank_CL
dossier_infoblox_web_cat_CL
dossier_geo_CL
dossier_dns_CL
dossier_atp_threat_CL
dossier_atp_CL
dossier_ptr_CL
Suporte a regras de coleta de dados Não é suportado atualmente
Apoiado por Infoblox

Exemplos de consulta

Intervalo de tempo do indicador com falha recebido

Failed_Range_To_Ingest_CL

| sort by TimeGenerated desc

Dados do intervalo de indicadores com falha

Infoblox_Failed_Indicators_CL

| sort by TimeGenerated desc

Fonte de dados do dossiê whois

dossier_whois_CL

| sort by TimeGenerated desc

Fonte de dados sobre o risco do dossiê tld

dossier_tld_risk_CL

| sort by TimeGenerated desc

Fonte de dados do agente de ameaças do dossiê

dossier_threat_actor_CL

| sort by TimeGenerated desc

Dossiê rpz feeds registra fonte de dados

dossier_rpz_feeds_records_CL

| sort by TimeGenerated desc

Fonte de dados de feeds rpz do dossiê

dossier_rpz_feeds_CL

| sort by TimeGenerated desc

O servidor de nomes do dossiê corresponde à fonte de dados

dossier_nameserver_matches_CL

| sort by TimeGenerated desc

Fonte de dados do servidor de nomes do dossiê

dossier_nameserver_CL

| sort by TimeGenerated desc

Fonte de dados de análise de malware de dossiê v3

dossier_malware_analysis_v3_CL

| sort by TimeGenerated desc

Fonte de dados do dossiê inforank

dossier_inforank_CL

| sort by TimeGenerated desc

Dossiê infoblox web cat fonte de dados

dossier_infoblox_web_cat_CL

| sort by TimeGenerated desc

Fonte de dados geográficos do dossiê

dossier_geo_CL

| sort by TimeGenerated desc

Fonte de dados do dossiê dns

dossier_dns_CL

| sort by TimeGenerated desc

Fonte de dados de ameaças atp do dossiê

dossier_atp_threat_CL

| sort by TimeGenerated desc

Dossiê atp fonte de dados

dossier_atp_CL

| sort by TimeGenerated desc

Fonte de dados do dossiê ptr

dossier_ptr_CL

| sort by TimeGenerated desc

Pré-requisitos

Para integrar com o Infoblox Data Connector via API REST (usando o Azure Functions), certifique-se de ter:

  • Assinatura do Azure: a Assinatura do Azure com função de proprietário é necessária para registrar um aplicativo no Microsoft Entra ID e atribuir a função de colaborador ao aplicativo no grupo de recursos.
  • Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
  • Credenciais/permissões da API REST: a chave da API Infoblox é necessária. Consulte a documentação para saber mais sobre a API na referência da API Rest

Instruções de instalação do fornecedor

Nota

Esse conector usa o Azure Functions para se conectar à API do Infoblox para criar Indicadores de Ameaça para TIDE e extrair dados do Dossiê para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.

(Etapa opcional) Armazene com segurança a(s) chave(s) de autorização do espaço de trabalho e da API ou código(s) no Cofre de Chaves do Azure. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um Aplicativo de Função do Azure.

PASSO 1 - Passos de Registo da Aplicação na ID Microsoft Entra

Essa integração requer um registro de aplicativo no portal do Azure. Siga as etapas nesta seção para criar um novo aplicativo no Microsoft Entra ID:

  1. Inicie sessão no portal do Azure.
  2. Procure e selecione Microsoft Entra ID.
  3. Em Gerir, selecione Registos de > aplicações Novo registo.
  4. Insira um Nome de exibição para seu aplicativo.
  5. Selecione Registrar para concluir o registro inicial do aplicativo.
  6. Quando o registro for concluído, o portal do Azure exibirá o painel Visão geral do registro do aplicativo. Você vê a ID do aplicativo (cliente) e a ID do locatário. O ID do cliente e o ID do locatário são necessários como parâmetros de configuração para a execução do playbook do TriggersSync.

Link de referência: /azure/active-directory/develop/quickstart-register-app

PASSO 2 - Adicionar um segredo de cliente para aplicação no Microsoft Entra ID

Às vezes chamado de senha de aplicativo, um segredo do cliente é um valor de cadeia de caracteres necessário para a execução do playbook do TriggersSync. Siga as etapas nesta seção para criar um novo segredo do cliente:

  1. No portal do Azure, em Registros de aplicativos, selecione seu aplicativo.
  2. Selecione Certificados & segredos Segredos do > cliente Novo segredo do > cliente.
  3. Adicione uma descrição do segredo do cliente.
  4. Selecione uma expiração para o segredo ou especifique um tempo de vida personalizado. O limite é de 24 meses.
  5. Selecione Adicionar.
  6. Registe o valor do segredo para uso no código da aplicação cliente. Este valor secreto nunca mais é apresentado depois de sair desta página. O valor secreto é necessário como parâmetro de configuração para a execução do playbook do TriggersSync.

Link de referência: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret

PASSO 3 - Atribuir a função de Colaborador à aplicação no Microsoft Entra ID

Siga as etapas nesta seção para atribuir a função:

  1. No portal do Azure, vá para Grupo de Recursos e selecione seu grupo de recursos.
  2. Vá para Controle de acesso (IAM) no painel esquerdo.
  3. Clique em Adicionar e, em seguida, selecione Adicionar atribuição de função.
  4. Selecione Colaborador como função e clique em avançar.
  5. Em Atribuir acesso a, selecione User, group, or service principal.
  6. Clique em adicionar membros , digite o nome do aplicativo que você criou e selecione-o.
  7. Agora clique em Rever + atribuir e, em seguida, clique novamente em Rever + atribuir.

Link de referência: /azure/role-based-access-control/role-assignments-portal

PASSO 4 - Passos para gerar as credenciais da API Infoblox

Siga estas instruções para gerar a Infoblox API Key. No Infoblox Cloud Services Portal, gere uma chave de API e copie-a em algum lugar seguro para uso na próxima etapa. Você pode encontrar instruções sobre como criar chaves de API aqui.

PASSO 5 - Passos para implementar o conector e a Função Azure associada

IMPORTANTE: Antes de implantar o conector de dados Infoblox, tenha a ID do Espaço de Trabalho e a Chave Primária do Espaço de Trabalho (pode ser copiada do seguinte) prontamente disponíveis.., bem como as Credenciais de Autorização da API do Infoblox

Modelo do Azure Resource Manager (ARM)

Use este método para a implantação automatizada do conector de dados Infoblox.

  1. Clique no botão Implantar no Azure abaixo.

    Implementar no Azure

  2. Selecione a Subscrição, o Grupo de Recursos e a Localização preferidos.

  3. Insira as informações abaixo: Azure Tenant Id Azure Client Id Azure Client Secret Infoblox API Token Infoblox Base URL Workspace ID Workspace Key Log Level (Padrão: INFO) Confidence Threat Level App Insights Workspace Resource ID

  4. Marque a caixa de seleção Concordo com os termos e condições mencionados acima.

  5. Clique em Comprar para implantar.

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.