Connecteur Infoblox Data Connector via l’API REST (à l’aide d’Azure Functions) pour Microsoft Sentinel

Le connecteur Infoblox Data Connector vous permet de connecter facilement vos données Infoblox TIDE et vos données Dossier à Microsoft Sentinel. En connectant vos données à Microsoft Sentinel, vous pouvez bénéficier de la recherche et de la corrélation, des alertes et de l’enrichissement de la veille des menaces pour chaque journal.

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Exemples de requête

Intervalle de temps d’un indicateur ayant échoué reçu

Failed_Range_To_Ingest_CL

| sort by TimeGenerated desc

Données de plage d’indicateurs ayant échoué

Infoblox_Failed_Indicators_CL

| sort by TimeGenerated desc

Source de données whois Dossier

dossier_whois_CL

| sort by TimeGenerated desc

Source de données des risques TLD Dossier

dossier_tld_risk_CL

| sort by TimeGenerated desc

Source de données de l’acteur de la menace Dossier

dossier_threat_actor_CL

| sort by TimeGenerated desc

Source de données des enregistrements de flux RPZ Dossier

dossier_rpz_feeds_records_CL

| sort by TimeGenerated desc

Source de données des flux RPZ Dossier

dossier_rpz_feeds_CL

| sort by TimeGenerated desc

Source de données des correspondances du serveur de noms Dossier

dossier_nameserver_matches_CL

| sort by TimeGenerated desc

Source de données du serveur de noms Dossier

dossier_nameserver_CL

| sort by TimeGenerated desc

Source de données de l’analyse des programmes malveillants v3 Dossier

dossier_malware_analysis_v3_CL

| sort by TimeGenerated desc

Source de données du classement par ordre de priorité des informations Dossier

dossier_inforank_CL

| sort by TimeGenerated desc

Source de données web cat Infoblox Dossier

dossier_infoblox_web_cat_CL

| sort by TimeGenerated desc

Source de données géographique Dossier

dossier_geo_CL

| sort by TimeGenerated desc

Source de données DNS Dossier

dossier_dns_CL

| sort by TimeGenerated desc

Source de données des menaces ATP Dossier

dossier_atp_threat_CL

| sort by TimeGenerated desc

Source de données ATP Dossier

dossier_atp_CL

| sort by TimeGenerated desc

Source de données PTR Dossier

dossier_ptr_CL

| sort by TimeGenerated desc

Prérequis

Pour l’intégration au connecteur Infoblox Data Connector via l’API REST (à l’aide d’Azure Functions), vérifiez que vous disposez des éléments suivants :

• Abonnement à Azure : un abonnement à Azure avec un rôle de propriétaire est requis pour enregistrer une application dans Microsoft Entra ID et attribuer un rôle de contributeur à une application dans un groupe de ressources.
• Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Consultez la documentation pour en savoir plus sur Azure Functions.
• Informations d’identification/autorisations de l’API REST : la clé API Infoblox est obligatoire. Consultez la documentation pour découvrir plus d’informations sur la référence de l’API REST

Instructions d’installation du fournisseur

(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.

ÉTAPE 1 : étapes d’enregistrement d’une application pour une application dans Microsoft Entra ID

Cette intégration nécessite l’enregistrement de l’application dans le portail Microsoft Azure. Suivez les étapes de cette section pour créer une nouvelle application dans Microsoft Entra ID :

1. Connectez-vous au portail Azure.
2. Recherchez et sélectionnez Microsoft Entra ID.
3. Sous Gérer, sélectionnez Inscriptions d’applications> Nouvelle inscription.
4. Entrez un nom d’affichage pour votre application.
5. Sélectionnez Inscrire pour procéder à l’inscription d’application initiale.
6. Une fois l’inscription terminée, le portail Azure affiche le volet Vue d’ensemble de l’inscription de l’application. Copiez l'ID d'application (client) et l'ID de locataire. L’ID client et l’ID tenant sont des paramètres de configuration nécessaires pour l’exécution du playbook TriggersSync.

Lien de référence : /azure/active-directory/develop/quickstart-register-app

ÉTAPE 2 : ajouter une clé secrète client pour l’application dans Microsoft Entra ID

Parfois appelé mot de passe d’application, une clé secrète client est une valeur de chaîne nécessaire pour l’exécution du playbook TriggersSync. Suivez les étapes de cette section pour créer une nouvelle clé secrète client :

1. Dans Inscriptions d’applications du portail Azure, sélectionnez votre application.
2. Sélectionnez Certificats et clés secrètes client > Clé secrète client > Nouvelle clé secrète client.
3. Ajoutez une description pour votre clé secrète client.
4. Sélectionnez un délai d’expiration pour le secret ou spécifiez une durée de vie personnalisée. La limite est de 24 mois.
5. Sélectionnez Ajouter.
6. Enregistrez la valeur du secret en prévision d’une utilisation dans le code de votre application cliente. Cette valeur secrète ne sera plus jamais affichée lorsque vous aurez quitté cette page. La valeur secrète est un paramètre de configuration nécessaire pour l’exécution du playbook TriggersSync.

Lien de référence : /azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ÉTAPE 3 : attribuer le rôle de contributeur à l’application dans Microsoft Entra ID

Suivez les étapes décrites dans cette section pour attribuer le rôle :

1. Dans le portail Microsoft Azure, accédez à Groupes de ressources, puis sélectionnez le groupe de ressources.
2. Accédez au contrôle d’accès (IAM) dans le panneau de gauche.
3. Cliquez sur Ajouter, puis sélectionnez Ajouter une attribution de rôle.
4. Sélectionnez Contributeur comme rôle, puis cliquez sur Suivant.
5. Dans Attribuer l’accès à, sélectionnez User, group, or service principal.
6. Cliquez sur Ajouter des membres et tapez le nom de l’application que vous avez créé et sélectionnez-le.
7. Cliquez maintenant sur Évaluer + attribuer, puis cliquez à nouveau sur Évaluer + attribuer.

Lien de référence : /azure/role-based-access-control/role-assignments-portal

ÉTAPE 4 – Étapes à suivre pour générer les informations d’identification de l’API Infoblox

Suivez ces instructions pour générer la clé API Infoblox. Dans le portail des services cloud Infoblox, générez une clé API et copiez-la dans un endroit sûr pour l’utiliser à l’étape suivante. Vous trouverez des instructions sur la création de clés API ici.

ÉTAPE 5 – Étapes à suivre pour déployer le connecteur et la fonction Azure associée

IMPORTANT : avant de déployer le connecteur Infoblox Data Connector, ayez à votre disposition l’ID et la clé primaire de l’espace de travail (que vous pouvez copier à partir de ce qui suit), ainsi que les informations d’identification d’autorisation de l’API Infoblox.

Modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur Infoblox Data Connector.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   

2. Sélectionnez votre abonnement, votre groupe de ressources, puis votre emplacement préférés.

3. Entrez les informations ci-dessous : ID de locataire Azure, ID client Azure, Clé secrète client Azure, Jeton API Infoblox, URL de base Infoblox, ID d’espace de travail, Clé d’espace de travail, Niveau de journalisation (par défaut : INFO), Confiance, Niveau de menace, ID de ressource de l’espace de travail App Insights

4. Cochez la case J’accepte les termes et conditions mentionnés ci-dessus.

5. Cliquez sur Acheter pour déployer.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.