適用於 Microsoft Sentinel 的 Infoblox NIOS 連接器
Infoblox 網路識別作業系統 (NIOS) 連接器可讓您輕鬆地將 Infoblox NIOS 記錄與 Microsoft Sentinel 連線,以檢視儀錶板、建立自定義警示,以及改善調查。 這可讓您深入瞭解組織的網路,並改善安全性作業功能。
連線 or 屬性
| 連線 or 屬性 | 描述 |
|---|---|
| Log Analytics 數據表(s) | Syslog (InfobloxNIOS) |
| 數據收集規則支援 | 工作區轉換 DCR |
| 支援者 | Microsoft Corporation |
查詢範例
依 DHCP 要求訊息類型的總計數
union isfuzzy=true
Infoblox_dhcpdiscover,Infoblox_dhcprequest,Infoblox_dhcpinform
| summarize count() by Log_Type
前 5 個來源 IP 位址
Infoblox_dnsclient
| summarize count() by SrcIpAddr
| top 10 by count_ desc
必要條件
若要與 Infoblox NIOS 整合,請確定您有:
- Infoblox NIOS:必須設定為透過 Syslog 導出記錄
- 更新 Watchlist Sources_by_SourceType,以確保 Kusto 工作區函式剖析 器 Infoblox_ 可以適當地從不同 DNS 和 DHCP 來源的 SyslogMessage 擷取訊息資訊。
廠商安裝指示
注意: 此數據連接器取決於以 Kusto 函式為基礎的剖析器,以如預期般運作,這會部署為解決方案的一部分。 若要在 Log Analytics 中檢視函式程式代碼,請開啟 Log Analytics/Microsoft Sentinel Logs 刀鋒視窗,單擊 [函式],然後搜尋別名 Infoblox 並載入函式程式代碼,或按兩下 這裡,在查詢的第二行輸入 Infoblox 裝置的主機名(s),以及記錄數據流的任何其他唯一標識符。 在解決方案安裝/更新之後,函式通常需要 10-15 分鐘才能啟動。
- 安裝並上線適用於Linux的代理程式
在一般情況下,建議您將代理程式安裝在其他電腦上,而非在產生記錄用的電腦上。
Syslog 記錄只會從 Linux 代理程式收集。
- 設定要收集的記錄
設定您要收集的目標設施及其嚴重性。
在工作區進階設定 [組態] 下,選取 [數據],然後選取 [Syslog]。
選取 [將下列設定套用至我的機器 ],然後選取設施與嚴重性。
按一下 [檔案] 。
設定及連線 Infoblox NIOS
請遵循這些指示 來啟用 Infoblox NIOS 記錄的 syslog 轉送。 使用 Linux 裝置的 IP 位址或主機名,並將 Linux 代理程式安裝為目的地 IP 位址。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。