Microsoft Sentinel için Infoblox Cloud Data bağlayıcısı
Infoblox Cloud Data Bağlan or, Infoblox BloxOne verilerinizi Microsoft Sentinel'e kolayca bağlamanızı sağlar. Günlüklerinizi Microsoft Sentinel'e bağlayarak, her günlük için arama ve bağıntı, uyarı ve tehdit bilgileri zenginleştirme avantajlarından yararlanabilirsiniz.
Bağlan or öznitelikleri
| Bağlan or özniteliği | Açıklama |
|---|---|
| Log Analytics tabloları | CommonSecurityLog (InfobloxCDC) |
| Veri toplama kuralları desteği | Çalışma alanı dönüştürme DCR |
| Destekleyen: | InfoBlox |
Sorgu örnekleri
Tüm BloxOne Threat Defense (TD) güvenlik olayları günlüklerini döndür
InfobloxCDC
| where DeviceEventClassID has_cs "RPZ"
Tüm BloxOne Sorgu/Yanıt günlüklerini döndürme
InfobloxCDC
| where DeviceEventClassID has_cs "DNS"
Tüm Kategori Filtreleri güvenlik olay günlüklerini döndür
InfobloxCDC
| where DeviceEventClassID has_cs "RPZ"
| where AdditionalExtensions has_cs "InfobloxRPZ=CAT_"
Tüm Uygulama Filtreleri güvenlik olay günlüklerini döndür
InfobloxCDC
| where DeviceEventClassID has_cs "RPZ"
| where AdditionalExtensions has_cs "InfobloxRPZ=APP_"
İlk 10 TD Etki Alanı İsabet Sayısını Döndür
InfobloxCDC
| where DeviceEventClassID has_cs "RPZ"
| summarize count() by DestinationDnsDomain
| top 10 by count_ desc
İlk 10 TD Kaynak IP İsabet Sayısını Döndür
InfobloxCDC
| where DeviceEventClassID has_cs "RPZ"
| summarize count() by SourceIP
| top 10 by count_ desc
Son Oluşturulan DHCP Kiralarını Döndürme
InfobloxCDC
| where DeviceEventClassID == "DHCP-LEASE-CREATE"
Satıcı yükleme yönergeleri
Önemli
Bu veri bağlayıcısı, çözümle birlikte dağıtılan InfobloxCDC adlı beklendiği gibi çalışması için Kusto İşlevini temel alan bir ayrıştırıcıya bağlıdır.
Önemli
Bu Microsoft Sentinel veri bağlayıcısı, Infoblox Cloud Data Bağlan veya ana bilgisayarının Infoblox Cloud Services Portalı'nda (CSP) önceden oluşturulduğunu ve yapılandırıldığını varsayar. Infoblox Cloud Data Bağlan or, BloxOne Threat Defense'in bir özelliği olduğundan, uygun bir BloxOne Threat Defense aboneliğine erişim gereklidir. Daha fazla bilgi ve lisans gereksinimleri için bu hızlı başlangıç kılavuzuna bakın.
- Linux Syslog aracısı yapılandırması
Ortak Olay Biçimi (CEF) Syslog iletilerinizi toplamak ve Bunları Microsoft Sentinel'e iletmek için Linux aracısını yükleyin ve yapılandırın.
Tüm bölgelerdeki verilerin seçili çalışma alanında depolanacağına dikkat edin
1.1 Linux makinesi seçme veya oluşturma
Microsoft Sentinel'in güvenlik çözümünüzle Microsoft Sentinel arasında ara sunucu olarak kullanacağı bir Linux makinesi seçin veya oluşturun. Bu makine şirket içi ortamınızda, Microsoft Sentinel'de veya diğer bulutlarda olabilir.
1.2 Linux makinesine CEF toplayıcısını yükleme
Linux makinenize Microsoft Monitoring Agent'ı yükleyin ve makineyi gerekli bağlantı noktasını dinleyecek ve iletileri Microsoft Sentinel çalışma alanınıza iletecek şekilde yapılandırın. CEF toplayıcısı 514 TCP numaralı bağlantı noktasında CEF iletilerini toplar.
- Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version.
- Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir.
CEF toplayıcısını yüklemek ve uygulamak için aşağıdaki komutu çalıştırın:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Infoblox BloxOne'ı Syslog verilerini Infoblox Cloud Data Bağlan veya Syslog aracısına iletecek şekilde yapılandırın
Infoblox CDC'yi Linux Syslog aracısı aracılığıyla BloxOne verilerini Microsoft Sentinel'e gönderecek şekilde yapılandırmak için aşağıdaki adımları izleyin.
Verileri Yönet > Bağlan veya'ya gidin.
Üstteki Hedef Yapılandırma sekmesine tıklayın.
Syslog Oluştur'a > tıklayın.
- Ad: Yeni Hedefe Microsoft-Sentinel-Destination gibi anlamlı bir ad verin.
- Açıklama: İsteğe bağlı olarak anlamlı bir açıklama verin.
- Durum: Durumu Etkin olarak ayarlayın.
- Biçim: Biçimi CEF olarak ayarlayın.
- FQDN/IP: Linux aracısının yüklü olduğu Linux cihazının IP adresini girin.
- Bağlantı noktası: Bağlantı noktası numarasını 514 olarak bırakın.
- Protokol: uygunsa istenen protokolü ve CA sertifikayı seçin.
- Kaydet ve Kapat'a tıklayın.
Üstteki Trafik Akışı Yapılandırması sekmesine tıklayın.
Oluştur’a tıklayın.
- Ad: Yeni Trafik Akışına Microsoft-Sentinel-Flow gibi anlamlı bir ad verin.
- Açıklama: İsteğe bağlı olarak anlamlı bir açıklama verin.
- Durum: Durumu Etkin olarak ayarlayın.
- CDC Etkin Ana Bilgisayar bölümünü genişletin.
- Şirket İçi Konak: Data Bağlan or hizmetinin etkinleştirildiği istediğiniz şirket içi konağı seçin.
- Kaynak Yapılandırma bölümünü genişletin.
- Kaynak: BloxOne Bulut Kaynağı'nı seçin.
- Toplamak istediğiniz tüm günlük türlerini seçin. Şu anda desteklenen günlük türleri şunlardır:
- Tehdit Savunması Sorgu/Yanıt Günlüğü
- Threat Defense Threat Feeds Günlükte İsabet Ediyor
- DDI Sorgu/Yanıt Günlüğü
- DDI DHCP Kira Günlüğü
- Hedef Yapılandırma bölümünü genişletin.
- Yeni oluşturduğunuz Hedefi seçin.
- Kaydet ve Kapat'a tıklayın.
Yapılandırmanın etkinleştirilmesi için biraz zaman tanıyın.
Bağlantıyı doğrulama
Bağlantınızı doğrulamak için yönergeleri izleyin:
Günlüklerin CommonSecurityLog şeması kullanılarak alınılıp alınmadığını denetlemek için Log Analytics'i açın.
Bağlantının çalışma alanınıza veri akışı gerçekleştirmesi yaklaşık 20 dakika sürebilir.
Günlükler alınmazsa aşağıdaki bağlantı doğrulama betiğini çalıştırın:
- Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version
- Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir
Bağlantınızı doğrulamak için aşağıdaki komutu çalıştırın:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Makinenizin güvenliğini sağlama
Makinenin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırdığından emin olun
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.