NC Protect-összekötő a Microsoft Sentinelhez

  • Cikk

Az NC Protect Data Csatlakozás or (archtis.com) lehetővé teszi a felhasználói tevékenységnaplók és események Microsoft Sentinelbe való betöltését. Az összekötő betekintést nyújt az NC Protect felhasználói tevékenységnaplóiba és eseményeibe a Microsoft Sentinelben a figyelési és vizsgálati képességek javítása érdekében

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Csatlakozás or attribútumok

Csatlakozás or attribútum Leírás
Log Analytics-tábla(ok) NCProtectUAL_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: archTIS

Példák lekérdezésekre

Az elmúlt 7 nap rekordjainak lekérése


NCProtectUAL_CL

| where TimeGenerated > ago(7d)

| order by TimeGenerated desc

A bejelentkezés több mint 3 alkalommal meghiúsult egy órán belül felhasználónként


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'LoginFailure'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s

| where  FailedRequestCount > 3

A letöltés egymás után több mint 3 alkalommal, felhasználónként egy órán belül meghiúsult


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'Open' and Status_s == 'Fail'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s, DocumentUrl_s

| where  FailedRequestCount > 3

Naplók lekérése az elmúlt 7 napban létrehozott vagy módosított vagy törölt szabályhoz


NCProtectUAL_CL

| where TimeGenerated > ago(7d) and (Type_s == 'Create' or Type_s == 'Modify' or Type_s == 'Delete') and isnotempty(RuleName_s)

| order by TimeGenerated desc

Előfeltételek

Az NC Protectvel való integrációhoz győződjön meg arról, hogy a következőkkel rendelkezik:

  • NC Protect: Az O365-höz készült NC Protect futó példányával kell rendelkeznie. Kérjük, vegye fel velünk a kapcsolatot.

Szállító telepítési útmutatója

  1. Az NC Protect telepítése az Azure-bérlőbe
  2. Jelentkezzen be az NC Protect Rendszergazda istration webhelyre
  3. A bal oldali navigációs menüben válassza az Általános –> Felhasználói tevékenység figyelése lehetőséget
  4. Jelölje be a jelölőnégyzetet a SIEM engedélyezéséhez, majd kattintson a Konfigurálás gombra
  5. Válassza ki a Microsoft Sentinelt alkalmazásként, és fejezze be a konfigurációt az alábbi információk alapján
  6. Kattintson a Mentés gombra a kapcsolat aktiválásához

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.