Conector de Incidentes ProActive de Netclean para Microsoft Sentinel
Este conector usa el webhook de Netclean (obligatorio) y Logic Apps para insertar datos en Log Analytics de Microsoft Sentinel
Este contenido se genera automáticamente. En relación con los cambios, póngase en contacto con el proveedor de soluciones.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| Tabla de Log Analytics | Netclean_Incidents_CL |
| Soporte de reglas de recopilación de datos | No se admite actualmente. |
| Compatible con | NetClean |
Ejemplos de consultas
Netclean: todas las actividades.
Netclean_Incidents_CL
| sort by TimeGenerated desc
Instrucciones de instalación del proveedor
Nota
El conector de datos se basa en Azure Logic Apps para recibir e insertar datos en Log Analytics. Esto podría dar lugar a costos adicionales de ingesta de datos. Es posible probar esto sin Logic Apps o NetClean Proactive, consulte la opción 2
Opción 1: implementación de la aplicación lógica (requiere NetClean Proactive)
- Descargue e instale la aplicación Logic aquí: https://portal.azure.com/#create/netcleantechnologiesab1651557549734.netcleanlogicappnetcleanproactivelogicapp)
- Vaya a la aplicación lógica recién creada En el diseñador de aplicaciones lógicas, haga clic en +Nuevo paso y busque "Recopilador de datos de Azure Log Analytics" haga clic en ella y seleccione "Enviar datos"
Escriba el nombre de registro personalizado: Netclean_Incidents y un valor ficticio en el cuerpo de la solicitud Json y haga clic en Guardar ir a la vista de código en la cinta de opciones superior y desplácese hacia abajo hasta la línea ~100 que debería empezar por "Cuerpo"
reemplace por completo la línea con:
"body": "{\n"Hostname":"@{variables('machineName')}",\n"agentType":"@{triggerBody()['value']['agent']['type']}",\n"Identifier":"@{triggerBody()?[' key']? ['identifier']}",\n"type":"@{triggerBody()?[' key']? ['type']}",\n"version":"@{triggerBody()?[' value']? ['incidentVersion']}",\n"foundTime":"@{triggerBody()?[' value']? ['foundTime']}",\n"detectionMethod":"@{triggerBody()?[' value']? ['detectionHashType']}",\n"agentInformatonIdentifier":"@{triggerBody()?[' value']? ['device']? ['identifier']}",\n"osVersion":"@{triggerBody()?[' value']? ['device']? ['operatingSystemVersion']}",\n"machineName":"@{variables('machineName')}",\n"microsoftCultureId":"@{triggerBody()?[" value']? ['device']? ['microsoftCultureId']}",\n"timeZoneId":"@{triggerBody()?[' value']? ['device']? ['timeZoneName']}",\n"microsoftGeoId":"@{triggerBody()?[' value']? ['device']? ['microsoftGeoId']}",\n"domainname":"@{variables('domain')}",\n"Agentversion":"@{triggerBody()['value']['agent']['version']}",\n "Agentidentifier":"@{triggerBody()['value']['identifier']}",\n"loggedOnUsers":"@{variables('Usernames')}",\n"size":"@{triggerBody()?[' value']? ['file']? ['size']}",\n"creationTime":"@{triggerBody()?[' value']? ['file']? ['creationTime']}",\n"lastAccessTime":"@{triggerBody()?[' value']? ['file']? ['lastAccessTime']}",\n"lastWriteTime":"@{triggerBody()?[' value']? ['file']? ['lastModifiedTime']}",\n"sha1":"@{triggerBody()?[' value']? ['file']? ['calculatedHashes']? ['sha1']}",\n"nearbyFiles_sha1":"@{variables('nearbyFiles_sha1s')}",\n"externalIP":"@{triggerBody()?[' value']? ['device']? ['resolvedExternalIp']}",\n"domain":"@{variables('domain')}",\n"hasCollectedNearbyFiles":"@{variables('hasCollectedNearbyFiles')}",\n"filePath":"@{replace(triggerBody()['value']['file']['path'], '\', '\\')}",\n"m365WebUrl":"@{triggerBody()?[" value']? ['file']? ['microsoft365']? ['webUrl']}",\n"m365CreatedBymail":"@{triggerBody()?[' value']? ['file']? ['createdBy']? ['graphIdentity']? ['usuario']? ['mail']}",\n"m365LastModifiedByMail":"@{triggerBody()?[' value']? ['file']? ['lastModifiedBy']? ['graphIdentity']? ['usuario']? ['mail']}",\n"m365LibraryId":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['biblioteca']? ['id']}",\n"m365LibraryDisplayName":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['biblioteca']? ['displayName']}",\n"m365Librarytype":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['biblioteca']? ['type']}",\n"m365siteid":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['sitio']? ['id']}",\n"m365sitedisplayName":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['sitio']? ['displayName']}",\n"m365sitename":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['padre']? ['name']}",\n"countOfAllNearByFiles":"@{variables('countOfAllNearByFiles')}",\n\n}",
Haga clic en Guardar
3. Copie la dirección URL 4 de HTTP POST. Vaya a la consola web de NetClean ProActive y vaya a la configuración, en Webhook configure un nuevo webhook con la dirección URL copiada del paso 3 5. Para comprobar la funcionalidad, desencadene un incidente de demostración.
Opción 2 (solo pruebas)
Ingesta de datos mediante una función de API. Use el script que se encuentra en Envío de datos de registro a Azure Monitor mediante HTTP Data Collector API
Reemplace los valores CustomerId y SharedKey por los valores Reemplace el contenido de $json variable por los datos de ejemplo.
Establezca logType varible en Netclean_Incidents_CL Ejecutar el script
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.