Konektor Netclean ProActive Incidents pro Microsoft Sentinel
Tento konektor používá webhook Netclean (povinné) a Logic Apps k odesílání dat do Microsoft Sentinel Log Analytics.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
| atribut Připojení or | Popis |
|---|---|
| Tabulky Log Analytics | Netclean_Incidents_CL |
| Podpora pravidel shromažďování dat | V současnosti není podporováno |
| Podporováno | NetClean |
Ukázky dotazů
Netclean - Všechny aktivity.
Netclean_Incidents_CL
| sort by TimeGenerated desc
Pokyny k instalaci dodavatele
Poznámka:
Datový konektor spoléhá na Azure Logic Apps na příjem a nabízení dat do Log Analytics. To může vést k dalším nákladům na příjem dat. Je možné to otestovat bez Logic Apps nebo NetClean Proaktivní zobrazení možnosti 2.
Možnost 1: Nasazení aplikace logiky (vyžaduje NetClean Proaktivní)
- Stáhněte a nainstalujte aplikaci logiky zde: https://portal.azure.com/#create/netcleantechnologiesab1651557549734.netcleanlogicappnetcleanproactivelogicapp)
- Přejděte do nově vytvořené aplikace logiky v návrháři aplikace logiky, klikněte na +Nový krok a vyhledejte "Kolekce dat Azure Log Analytics", klikněte na ni a vyberte Odeslat data.
Zadejte název vlastního protokolu: Netclean_Incidents a fiktivní hodnotu v textu požadavku JSON a klikněte na Uložit přejít do zobrazení kódu na horním pásu karet a posuňte se dolů na řádek ~100, který by měl začínat textem.
nahraďte přímku:
"body": "{\n"Název hostitele":"@{variables('machineName')}",\n"agentType":"@{triggerBody()['value']['agent']['type']}",\n"Identifikátor":"@{triggerBody()?[' key']? ['identifier']}",\n"type":"@{triggerBody()?[' key']? ['type']}",\n"version":"@{triggerBody()?[' value']? ['incidentVersion']}",\n"foundTime":"@{triggerBody()?[' value']? ['foundTime']}",\n"detectionMethod":"@{triggerBody()?[' value']? ['detectionHashType']}",\n"agentInformatonIdentifier":"@{triggerBody()?[' value']? ['device']? ['identifier']}",\n"osVersion":"@{triggerBody()?[' value']? ['device']? ['operatingSystemVersion']}",\n"machineName":"@{variables('machineName')}",\n"microsoftCultureId":"@{triggerBody()?[' value']? ['device']? ['microsoftCultureId']}",\n"timeZoneId":"@{triggerBody()?[' value']? ['device']? ['timeZoneName']}",\n"microsoftGeoId":"@{triggerBody()?[' value']? ['device']? ['microsoftGeoId']}",\n"název_domény":"@{variables('domain')}",\n"Agentversion":"@{triggerBody()['value']['agent']['version']}",\n"Agentidentifier":"@{triggerBody()['value']['identifier']}",\n"loggedOnUsers":"@{variables('Usernames')}",\n"size":"@{triggerBody()?[' value']? ['file']? ['size']}",\n"creationTime":"@{triggerBody()?[' value']? ['file']? ['creationTime']}",\n"lastAccessTime":"@{triggerBody()?[' value']? ['file']? ['lastAccessTime']}",\n"lastWriteTime":"@{triggerBody()?[' value']? ['file']? ['lastModifiedTime']}",\n"sha1":"@{triggerBody()?[' value']? ['file']? ['calculatedHashes']? ['sha1']}",\n"nearbyFiles_sha1":"@{variables('nearbyFiles_sha1s')}",\n"externalIP":"@{triggerBody()?[' value']? ['device']? ['resolvedExternalIp']}",\n"domain":"@{variables('domain')}",\n"hasCollectedNearbyFiles":"@{variables('hasCollectedNearbyFiles')}",\n"filePath":"@{replace(triggerBody()['value']['file']['path'], '\', '\')}",\n"m365WebUrl":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['webUrl']}",\n"m365CreatedBymail":"@{triggerBody()?[' value']? ['file']? ['createdBy']? ['graphIdentity']? ['user']? ['mail']}",\n"m365LastModifiedByMail":"@{triggerBody()?[' value']? ['file']? ['lastModifiedBy']? ['graphIdentity']? ['user']? ['mail']}",\n"m365LibraryId":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['library']? ['id']}",\n"m365LibraryDisplayName":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['library']? ['displayName']}",\n"m365Librarytype":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['library']? ['type']}",\n"m365siteid":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['site']? ['id']}",\n"m365sitedisplayName":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['site']? ['displayName']}",\n"m365sitename":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['parent']? ['name']}",\n"countOfAllNearByFiles":"@{variables('countOfAllNearByFiles')}",\n\n}",
klikněte na Uložit.
3. Zkopírujte adresu URL HTTP POST 4. Přejděte do webové konzoly NetClean ProActive a přejděte do nastavení, v části Webhook nakonfigurujte nový webhook pomocí adresy URL zkopírované z kroku 3 5. Ověřte funkčnost aktivací ukázkového incidentu.
Možnost 2 (pouze testování)
Ingestování dat pomocí funkce api Použijte skript nalezený při odesílání dat protokolu do služby Azure Monitor pomocí rozhraní API kolektoru dat HTTP.
Nahraďte hodnoty CustomerId a SharedKey hodnotami Nahraďte obsah v proměnné $json ukázkovými daty.
Nastavte logType varible na Netclean_Incidents_CL Spuštění skriptu
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.