Соединитель Infoblox NIOS для Microsoft Sentinel

  • Статья

Соединитель Infoblox Network Identity Operating System (NIOS) позволяет легко подключать журналы NIOS Infoblox к Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. В результате вы будете получать больше полезных сведений о сети организации и расширите свои возможности для обеспечения безопасности.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics Syslog (InfobloxNIOS)
Поддержка правил сбора данных Преобразование DCR рабочей области
Поддерживается Корпорация Майкрософт

Примеры запросов

Общее число по типам сообщений запроса DHCP

union isfuzzy=true 
Infoblox_dhcpdiscover,Infoblox_dhcprequest,Infoblox_dhcpinform 

| summarize count() by Log_Type

Топ-5 исходный IP-адрес

Infoblox_dnsclient 

| summarize count() by SrcIpAddr 

| top 10 by count_ desc

Необходимые компоненты

Чтобы интегрироваться с Infoblox NIOS, убедитесь, что у вас есть:

  • Infoblox NIOS: необходимо настроить для экспорта журналов с помощью системного журнала
  • Обновите список отслеживания Sources_by_SourceType, чтобы убедиться, что средства синтаксического анализа функций рабочей области Kusto Infoblox_ могут правильно извлекать сведения о сообщении из SyslogMessage для различных источников DNS и DHCP.

Инструкции по установке поставщика

ПРИМЕЧАНИЕ. Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним Infoblox и загрузите код функции или щелкните здесь, во второй строке запроса введите имена узлов устройств Infoblox и другие уникальные идентификаторы для потока журналов. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.

  1. Установка и подключение агента для Linux

Обычно агент следует устанавливать не на том же компьютере, где создаются журналы.

Журналы системного журнала собираются только из агентов Linux .

  1. Настройка журналов для сбора

Настройте объекты, которые необходимо собрать, и соответствующие уровни серьезности.

  1. В разделе "Конфигурация дополнительных параметров рабочей области" выберите "Данные" и "Системный журнал".

  2. Выберите " Применить" на моих компьютерах и выберите объекты и серьезность.

  3. Нажмите кнопку Сохранить.

  4. Настройка и подключение сетевых адаптеров Infoblox

Следуйте этим инструкциям , чтобы включить перенаправление системного журнала журналов Infoblox NIOS. Используйте IP-адрес или имя узла для устройства Linux с агентом Linux, установленным в качестве IP-адреса назначения.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.