Conector NC Protect para Microsoft Sentinel
El conector de datos NC Protect (archtis.com) proporciona la capacidad de ingerir eventos y registros de actividad de usuario en Microsoft Sentinel. El conector proporciona visibilidad para los registros de actividad de usuario de NC Protect y los eventos en Microsoft Sentinel para mejorar las capacidades de supervisión e investigación.
Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| Tabla de Log Analytics | NCProtectUAL_CL |
| Soporte de reglas de recopilación de datos | No se admite actualmente. |
| Compatible con | archTIS |
Ejemplos de consultas
Obtener registros de los últimos 7 días
NCProtectUAL_CL
| where TimeGenerated > ago(7d)
| order by TimeGenerated desc
El usuario no logró iniciar sesión en más de 3 intentos consecutivos durante una hora
NCProtectUAL_CL
| where TimeGenerated > ago(1h) and Type_s == 'LoginFailure'
| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s
| where FailedRequestCount > 3
El usuario no logró realizar una descarga en más de 3 intentos consecutivos durante una hora
NCProtectUAL_CL
| where TimeGenerated > ago(1h) and Type_s == 'Open' and Status_s == 'Fail'
| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s, DocumentUrl_s
| where FailedRequestCount > 3
Obtener registros de los registros creados mediante reglas, o que hayan sido modificados o eliminados en los últimos 7 días
NCProtectUAL_CL
| where TimeGenerated > ago(7d) and (Type_s == 'Create' or Type_s == 'Modify' or Type_s == 'Delete') and isnotempty(RuleName_s)
| order by TimeGenerated desc
Requisitos previos
Para integrar con NC Protect, asegúrese de que tiene:
- NC Protect: debe tener una instancia en ejecución de NC Protect para O365. Póngase en contacto con nosotros.
Instrucciones de instalación del proveedor
- Instale NC Protect en el inquilino de Azure.
- Inicie sesión en el sitio de administración de NC Protect.
- En el menú de navegación izquierdo, seleccione General -> Supervisión de actividad del usuario.
- Marque la casilla para habilitar SIEM y haga clic en el botón Configurar.
- Seleccione Microsoft Sentinel como aplicación y complete la configuración con la información siguiente.
- Haga clic en Guardar para activar la conexión.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.