Infoblox NIOS conector para Microsoft Sentinel
O conector do Infoblox Network Identity Operating System (NIOS) permite que você conecte facilmente seus logs do Infoblox NIOS com o Microsoft Sentinel, para visualizar painéis, criar alertas personalizados e melhorar a investigação. Isso lhe dá mais informações sobre a rede da sua organização e melhora seus recursos de operação de segurança.
Atributos do conector
Atributo do conector | Description |
---|---|
Tabela(s) do Log Analytics | Syslog (InfobloxNIOS) |
Suporte a regras de coleta de dados | Transformar DCR no espaço de trabalho |
Apoiado por | Corporação Microsoft |
Exemplos de consulta
Contagem total por tipos de mensagem de solicitação DHCP
union isfuzzy=true
Infoblox_dhcpdiscover,Infoblox_dhcprequest,Infoblox_dhcpinform
| summarize count() by Log_Type
Top 5 Endereço IP de origem
Infoblox_dnsclient
| summarize count() by SrcIpAddr
| top 10 by count_ desc
Pré-requisitos
Para integrar com o Infoblox NIOS certifique-se de:
- Infoblox NIOS: deve ser configurado para exportar logs via Syslog
- Atualize o Sources_by_SourceType da Lista de observação para garantir que os analisadores de função do espaço de trabalho Kusto Infoblox_ possam extrair corretamente as informações da mensagem do SyslogMessage para as diferentes fontes DNS e DHCP.
Instruções de instalação do fornecedor
NOTA: Este conector de dados depende de um analisador baseado numa Função Kusto para funcionar como esperado, que é implementado como parte da solução. Para visualizar o código da função no Log Analytics, abra a folha Log Analytics/Microsoft Sentinel Logs, clique em Funções e procure o alias Infoblox e carregue o código da função ou clique aqui, na segunda linha da consulta, insira o(s) nome(s) do(s) seu(s) dispositivo(s) Infoblox e quaisquer outros identificadores exclusivos para o fluxo de log. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.
- Instalar e integrar o agente para Linux
Normalmente, você deve instalar o agente em um computador diferente daquele em que os logs são gerados.
Os logs do Syslog são coletados somente de agentes Linux .
- Configurar os logs a serem coletados
Configure as instalações que deseja coletar e suas gravidades.
Em Configurações avançadas do espaço de trabalho Configuração, selecione Dados e, em seguida, Syslog.
Selecione Aplicar configuração abaixo às minhas máquinas e selecione as instalações e gravidades.
Clique em Guardar.
Configurar e conectar o Infoblox NIOS
Siga estas instruções para ativar o encaminhamento syslog de Infoblox NIOS Logs. Use o endereço IP ou nome de host para o dispositivo Linux com o agente Linux instalado como o endereço IP de destino.
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários