Konektor Infoblox NIOS pro Microsoft Sentinel

  • Článek

Konektor Infoblox Network Identity Operating System (NIOS) umožňuje snadno připojit protokoly Infoblox NIOS k Microsoft Sentinelu, zobrazit řídicí panely, vytvářet vlastní výstrahy a zlepšovat šetření. Tím získáte lepší přehled o síti vaší organizace a zlepšíte možnosti operací zabezpečení.

atributy Připojení oru

atribut Připojení or Popis
Tabulky Log Analytics Syslog (InfobloxNIOS)
Podpora pravidel shromažďování dat Transformace pracovního prostoru – DCR
Podporováno Microsoft Corporation

Ukázky dotazů

Celkový počet podle typů zpráv požadavků DHCP

union isfuzzy=true 
Infoblox_dhcpdiscover,Infoblox_dhcprequest,Infoblox_dhcpinform 

| summarize count() by Log_Type

Prvních 5 zdrojových IP adres

Infoblox_dnsclient 

| summarize count() by SrcIpAddr 

| top 10 by count_ desc

Požadavky

Pokud chcete provést integraci s aplikací Infoblox NIOS, ujistěte se, že máte:

  • Infoblox NIOS: Musí být nakonfigurované pro export protokolů přes Syslog.
  • Aktualizujte kontrolní seznam Sources_by_SourceType , aby analyzátory funkcí pracovního prostoru Kusto Infoblox_ mohly správně extrahovat informace o zprávě ze služby SyslogMessage pro různé zdroje DNS a DHCP.

Pokyny k instalaci dodavatele

POZNÁMKA: Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání, která se nasadí jako součást řešení. Pokud chcete zobrazit kód funkce v Log Analytics, otevřete okno Protokoly Log Analytics/Microsoft Sentinel, klikněte na Functions a vyhledejte alias Infoblox a načtěte kód funkce nebo klikněte sem, na druhém řádku dotazu zadejte názvy hostitelů vašich zařízení Infoblox a všechny další jedinečné identifikátory pro logstream. Aktivace funkce obvykle trvá 10 až 15 minut po instalaci nebo aktualizaci řešení.

  1. Instalace a onboarding agenta pro Linux

Obvykle byste měli agenta nainstalovat do jiného počítače, než na kterém se protokoly generují.

Protokoly syslogu se shromažďují jenom z agentů Linuxu .

  1. Konfigurace protokolů, které se mají shromažďovat

Nakonfigurujte zařízení, která chcete shromažďovat, a jejich závažnosti.

  1. V části Konfigurace upřesňujícího nastavení pracovního prostoru vyberte Data a potom Syslog.

  2. Na moje počítače vyberte Použít následující konfiguraci a vyberte zařízení a závažnosti.

  3. Klikněte na Uložit.

  4. Konfigurace a připojení infoblox NIOS

Podle těchto pokynů povolte předávání syslogu protokolů Infoblox NIOS. Použijte IP adresu nebo název hostitele pro zařízení s Linuxem s agentem Linuxu nainstalovaným jako cílovou IP adresu.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.