Infoblox NIOS-anslutningsprogram för Microsoft Sentinel
Med infoblox-anslutningsappen för nätverksidentitetsoperativsystem (NIOS) kan du enkelt ansluta dina Infoblox NIOS-loggar till Microsoft Sentinel, visa instrumentpaneler, skapa anpassade aviseringar och förbättra undersökningen. Detta ger dig mer insikt i organisationens nätverk och förbättrar dina säkerhetsåtgärdsfunktioner.
Anslut ellerattribut
Anslut ellerattribut | beskrivning |
---|---|
Log Analytics-tabeller | Syslog (InfobloxNIOS) |
Stöd för regler för datainsamling | DcR för arbetsytetransformering |
Stöds av | Microsoft Corporation |
Exempel på frågor
Totalt antal efter meddelandetyper för DHCP-begäran
union isfuzzy=true
Infoblox_dhcpdiscover,Infoblox_dhcprequest,Infoblox_dhcpinform
| summarize count() by Log_Type
Ip-adress för de 5 främsta källorna
Infoblox_dnsclient
| summarize count() by SrcIpAddr
| top 10 by count_ desc
Förutsättningar
Om du vill integrera med Infoblox NIOS kontrollerar du att du har:
- Infoblox NIOS: måste konfigureras för att exportera loggar via Syslog
- Uppdatera watchlist-Sources_by_SourceType för att säkerställa att Funktionen Kusto-arbetsyteparsrar Infoblox_ kan extrahera meddelandeinformationen från SyslogMessage korrekt för de olika DNS- och DHCP-källorna.
Installationsanvisningar för leverantör
Obs! Den här dataanslutningen är beroende av en parser baserat på en Kusto-funktion för att fungera som förväntat som distribueras som en del av lösningen. Om du vill visa funktionskoden i Log Analytics öppnar du bladet Log Analytics-/Microsoft Sentinel-loggar, klickar på Funktioner och söker efter aliaset Infoblox och läser in funktionskoden eller klickar här, på den andra raden i frågan anger du värdnamnen för infoblox-enheter och andra unika identifierare för logstreamen. Funktionen tar vanligtvis 10–15 minuter att aktivera efter installationen/uppdateringen av lösningen.
- Installera och registrera agenten för Linux
Normalt bör du installera agenten på en annan dator än den där loggarna genereras.
Syslog-loggar samlas endast in från Linux-agenter .
- Konfigurera loggarna som ska samlas in
Konfigurera de anläggningar som du vill samla in och deras allvarlighetsgrad.
Under Avancerade inställningar för arbetsytan Konfiguration väljer du Data och sedan Syslog.
Välj Använd nedanstående konfiguration på mina datorer och välj de anläggningar och allvarlighetsgraderna.
Klicka på Spara.
Konfigurera och ansluta Infoblox NIOS
Följ de här anvisningarna för att aktivera syslog-vidarebefordran av Infoblox NIOS-loggar. Använd IP-adressen eller värdnamnet för Linux-enheten med Linux-agenten installerad som mål-IP-adress.
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för