Microsoft Sentinel 用 Infoblox NIOS コネクタ
Infoblox ネットワーク ID オペレーティング システム (NIOS) コネクタを使用すると、Microsoft Sentinel に Infoblox NIOS のログを簡単に接続し、ダッシュボードの表示、カスタム アラートの作成、調査の改善ができます。 これにより、組織のネットワークに関するより詳細な分析情報が得られ、セキュリティ運用機能が向上します。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | Syslog (InfobloxNIOS) |
| データ収集ルールのサポート | ワークスペース変換 DCR |
| サポートしているもの | Microsoft Corporation |
クエリのサンプル
DHCP 要求メッセージ種類別の合計数
union isfuzzy=true
Infoblox_dhcpdiscover,Infoblox_dhcprequest,Infoblox_dhcpinform
| summarize count() by Log_Type
上位 5 個のソース IP アドレス
Infoblox_dnsclient
| summarize count() by SrcIpAddr
| top 10 by count_ desc
[前提条件]
Infoblox NIOS と統合するには、次の情報を確認してください。
- Infoblox NIOS: Syslog を使用してログをエクスポートするように構成する必要があります
- ウォッチリスト Sources_by_SourceType を更新して、Kusto ワークスペース関数パーサー Infoblox_ がさまざまな DNS および DHCP ソースの SyslogMessage からメッセージ情報を適切に抽出できるようにします。
ベンダーのインストール手順
注: このデータ コネクタは、ソリューションの一部としてデプロイされている Kusto 関数に基づくパーサーを利用して正常に動作します。 Log Analytics で関数コードを表示するには、Log Analytics/Microsoft Sentinel ログ ブレードを開き、関数をクリックし、エイリアス Infoblox を検索して関数コードを読み込みます。または、ここをクリックして、クエリの 2 行目に Infoblox デバイスのホスト名と、ログストリームの他の一意の識別子を入力します。 この関数は、通常、ソリューションのインストール/更新後にアクティブ化されるまでに 10 から 15 分かかります。
- Linux 用エージェントをインストールおよびオンボードする
一般的に、エージェントは、ログが生成されるコンピューターとは別のコンピューターにインストールする必要があります。
Syslog ログは Linux エージェントからのみ収集されます。
- 収集するログを構成する
収集するファシリティとその重要度を構成します。
ワークスペースの詳細設定の [構成] で、[データ] を選択し、[Syslog] を選択します。
[下の構成をコンピューターに適用する] を選択し、ファシリティと重要度を選択します。
[保存] をクリックします。
Infoblox NIOS の構成と接続
Infoblox NIOS ログの syslog 転送を有効にするには、これらの手順に従います。 Linux エージェントがインストールされている Linux デバイスの IP アドレスまたはホスト名を接続先 IP アドレスとして使用します。
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。