Conector do Infoblox NIOS para Microsoft Sentinel

  • Artigo

O conector do Sistema Operacional de Identidade de Rede do Infoblox (NIOS) permite que você conecte facilmente seus logs do Infoblox NIOS ao Azure Sentinel, para exibir painéis, criar alertas personalizados e aprimorar a investigação. Isso proporciona mais insights sobre a rede da sua organização e aprimora suas funcionalidades de operação de segurança.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics Syslog (InfobloxNIOS)
Suporte às regras de coleta de dados DCR de transformação do espaço de trabalho
Com suporte por Microsoft Corporation

Exemplos de consulta

Contagem total por tipos de mensagem de solicitação DHCP

union isfuzzy=true 
Infoblox_dhcpdiscover,Infoblox_dhcprequest,Infoblox_dhcpinform 

| summarize count() by Log_Type

5 principais endereços IP de Origem

Infoblox_dnsclient 

| summarize count() by SrcIpAddr 

| top 10 by count_ desc

Pré-requisitos

Para integrar com o Infoblox, verifique se você tem:

  • Cisco UCS: precisa ser configurado para exportar logs pelo Syslog
  • Atualize a Watchlist Sources_by_SourceType para garantir que os analisadores de função de workspace do Kusto Infoblox_ consigam extrair corretamente as informações da mensagem do SyslogMessage para as diversas fontes DNS e DHCP.

Instruções de instalação do fornecedor

OBSERVAÇÃO: Este conector de dados depende de um analisador baseado em uma Função Kusto para funcionar conforme o esperado, o que é implantado como parte da solução. Para exibir o código da função no Log Analytics, abra a folha Logs do Log Analytics/Microsoft Sentinel, clique em Funções e pesquise pelo alias Infoblox e carregue o código da função ou clique aqui, na segunda linha da consulta, insira os nomes de host de seus dispositivos Infoblox e quaisquer outros identificadores exclusivos para o fluxo de log. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.

  1. Instalar e integrar o agente para Linux

De modo geral, você deve instalar o agente em um computador diferente daquele a partir do qual os logs são gerados.

Os logs do Syslog são coletados apenas junto a agentes do Linux.

  1. Configurar os logs a serem coletados

Configurar as facilidades que você deseja coletar e os respectivo níveis de gravidades.

  1. Nas definições da Configuração avançada do workspace, selecione Dados e, em seguida, Syslog.

  2. Selecione Aplicar a configuração abaixo às minhas máquinas e selecione as facilidades e níveis de gravidade.

  3. Clique em Salvar.

  4. Configurar e conectar o Infoblox do NIOS

Siga estas instruções para habilitar o encaminhamento de syslog de Logs do Infoblox NIOS. Use o endereço IP ou o nome do host para o dispositivo Linux com o agente Linux instalado como o Endereço IP de Destino.

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.