NC Protect-Connector für Microsoft Sentinel

  • Artikel

Der NC Protect-Datenconnector (archtis.com) bietet die Möglichkeit, Benutzeraktivitätsprotokolle und -ereignisse in Microsoft Sentinel zu erfassen. Der Connector bietet Einblick in NC Protect-Benutzeraktivitätsprotokolle und -ereignisse in Microsoft Sentinel, sodass Sie Ihre Überwachungs- und Untersuchungsfunktionen verbessern können.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen NCProtectUAL_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von archTIS

Abfragebeispiele

Datensätze der letzten 7 Tage abrufen


NCProtectUAL_CL

| where TimeGenerated > ago(7d)

| order by TimeGenerated desc

Die Anmeldung ist mehr als dreimal hintereinander in einer Stunde fehlgeschlagen für den Benutzer


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'LoginFailure'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s

| where  FailedRequestCount > 3

Der Download ist mehr als dreimal hintereinander in einer Stunde fehlgeschlagen für den Benutzer


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'Open' and Status_s == 'Fail'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s, DocumentUrl_s

| where  FailedRequestCount > 3

Protokolle für „Regel erstellt oder geändert oder gelöscht“-Datensätze der letzten 7 Tage abrufen


NCProtectUAL_CL

| where TimeGenerated > ago(7d) and (Type_s == 'Create' or Type_s == 'Modify' or Type_s == 'Delete') and isnotempty(RuleName_s)

| order by TimeGenerated desc

Voraussetzungen

Stellen Sie zur Integration in NC Protect Folgendes sicher:

  • NC Protect: Sie müssen über eine ausgeführte Instanz von NC Protect für O365 verfügen. Kontaktieren Sie uns.

Installationsanweisungen des Anbieters

  1. Installieren Sie NC Protect in Ihrem Azure-Mandanten.
  2. Melden Sie sich bei der NC Protect Administration-Website an.
  3. Wählen Sie im Navigationsmenü auf der linken Seite „Allgemein –> Überwachung der Benutzeraktivität“ aus.
  4. Aktivieren Sie das Kontrollkästchen, um SIEM zu aktivieren, und klicken Sie auf die Schaltfläche „Konfigurieren“.
  5. Wählen Sie Microsoft Sentinel als Anwendung aus, und schließen Sie die Konfiguration mithilfe der folgenden Informationen ab.
  6. Klicken Sie auf „Speichern“, um die Verbindung zu aktivieren.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.