Conector do Infoblox NIOS para Microsoft Sentinel
O conector do Sistema Operacional de Identidade de Rede do Infoblox (NIOS) permite que você conecte facilmente seus logs do Infoblox NIOS ao Azure Sentinel, para exibir painéis, criar alertas personalizados e aprimorar a investigação. Isso proporciona mais insights sobre a rede da sua organização e aprimora suas funcionalidades de operação de segurança.
Atributos do conector
Atributo do conector | Description |
---|---|
Tabela(s) do Log Analytics | Syslog (InfobloxNIOS) |
Suporte às regras de coleta de dados | DCR de transformação do espaço de trabalho |
Com suporte por | Microsoft Corporation |
Exemplos de consulta
Contagem total por tipos de mensagem de solicitação DHCP
union isfuzzy=true
Infoblox_dhcpdiscover,Infoblox_dhcprequest,Infoblox_dhcpinform
| summarize count() by Log_Type
5 principais endereços IP de Origem
Infoblox_dnsclient
| summarize count() by SrcIpAddr
| top 10 by count_ desc
Pré-requisitos
Para integrar com o Infoblox, verifique se você tem:
- Cisco UCS: precisa ser configurado para exportar logs pelo Syslog
- Atualize a Watchlist Sources_by_SourceType para garantir que os analisadores de função de workspace do Kusto Infoblox_ consigam extrair corretamente as informações da mensagem do SyslogMessage para as diversas fontes DNS e DHCP.
Instruções de instalação do fornecedor
OBSERVAÇÃO: Este conector de dados depende de um analisador baseado em uma Função Kusto para funcionar conforme o esperado, o que é implantado como parte da solução. Para exibir o código da função no Log Analytics, abra a folha Logs do Log Analytics/Microsoft Sentinel, clique em Funções e pesquise pelo alias Infoblox e carregue o código da função ou clique aqui, na segunda linha da consulta, insira os nomes de host de seus dispositivos Infoblox e quaisquer outros identificadores exclusivos para o fluxo de log. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.
- Instalar e integrar o agente para Linux
De modo geral, você deve instalar o agente em um computador diferente daquele a partir do qual os logs são gerados.
Os logs do Syslog são coletados apenas junto a agentes do Linux.
- Configurar os logs a serem coletados
Configurar as facilidades que você deseja coletar e os respectivo níveis de gravidades.
Nas definições da Configuração avançada do workspace, selecione Dados e, em seguida, Syslog.
Selecione Aplicar a configuração abaixo às minhas máquinas e selecione as facilidades e níveis de gravidade.
Clique em Salvar.
Configurar e conectar o Infoblox do NIOS
Siga estas instruções para habilitar o encaminhamento de syslog de Logs do Infoblox NIOS. Use o endereço IP ou o nome do host para o dispositivo Linux com o agente Linux instalado como o Endereço IP de Destino.
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.