[Не рекомендуется] Соединитель Infoblox NIOS для Microsoft Sentinel
Внимание
Сбор журналов из многих устройств и устройств теперь поддерживается общим форматом событий (CEF) через AMA, Syslog через AMA или пользовательские журналы через соединитель данных AMA в Microsoft Sentinel. Дополнительные сведения см. в статье Поиск нужных соединителей данных Microsoft Sentinel.
Соединитель Infoblox Network Identity Operating System (NIOS) позволяет легко подключать журналы NIOS Infoblox к Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. В результате вы будете получать больше полезных сведений о сети организации и расширите свои возможности для обеспечения безопасности.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | Syslog (InfobloxNIOS) |
| Поддержка правил сбора данных | Преобразование DCR рабочей области |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
Общее число по типам сообщений запроса DHCP
union isfuzzy=true
Infoblox_dhcpdiscover,Infoblox_dhcprequest,Infoblox_dhcpinform
| summarize count() by Log_Type
Топ-5 исходный IP-адрес
Infoblox_dnsclient
| summarize count() by SrcIpAddr
| top 10 by count_ desc
Необходимые компоненты
Чтобы интегрироваться с Infoblox NIOS, убедитесь, что у вас есть:
- Infoblox NIOS: необходимо настроить для экспорта журналов с помощью системного журнала
Инструкции по установке поставщика
ПРИМЕЧАНИЕ. Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним Infoblox и загрузите код функции или щелкните здесь, во второй строке запроса введите имена узлов устройств Infoblox и другие уникальные идентификаторы для потока журналов. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.
- Установка и подключение агента для Linux
Обычно агент следует устанавливать не на том же компьютере, где создаются журналы.
Журналы системного журнала собираются только из агентов Linux .
- Настройка журналов для сбора
Настройте объекты, которые необходимо собрать, и соответствующие уровни серьезности.
В разделе "Конфигурация дополнительных параметров рабочей области" выберите "Данные" и "Системный журнал".
Выберите " Применить" на моих компьютерах и выберите объекты и серьезность.
Нажмите кнопку Сохранить.
Настройка и подключение сетевых адаптеров Infoblox
Следуйте этим инструкциям , чтобы включить перенаправление системного журнала журналов Infoblox NIOS. Используйте IP-адрес или имя узла для устройства Linux с агентом Linux, установленным в качестве IP-адреса назначения.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.