Microsoft Sentinel 用 NC Protect コネクタ

  • [アーティクル]

NC Protect データ コネクタ (archtis.com) には、ユーザー アクティビティ ログとイベントを Microsoft Sentinel に取り込む機能が用意されています。 コネクタを使用すると、Microsoft Sentinel で NC Protect のユーザー アクティビティ ログとイベントを可視化し、監視と調査の機能を向上させることができます

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル NCProtectUAL_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの archTIS

クエリのサンプル

過去 7 日間のレコードを取得する


NCProtectUAL_CL

| where TimeGenerated > ago(7d)

| order by TimeGenerated desc

ユーザーによるログインが 1 時間に 3 回以上連続して失敗しました


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'LoginFailure'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s

| where  FailedRequestCount > 3

ユーザーによるダウンロードが 1 時間に 3 回以上連続して失敗しました


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'Open' and Status_s == 'Fail'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s, DocumentUrl_s

| where  FailedRequestCount > 3

過去 7 日間におけるルールの作成、変更、削除に関するレコードのログを取得する


NCProtectUAL_CL

| where TimeGenerated > ago(7d) and (Type_s == 'Create' or Type_s == 'Modify' or Type_s == 'Delete') and isnotempty(RuleName_s)

| order by TimeGenerated desc

前提条件

NC Protect と統合するには、次があることを確認します。

  • NC Protect: NC Protect for O365 の実行中のインスタンスが存在する必要があります。 お問い合わせください。

ベンダーのインストール手順

  1. Azure テナントに NC Protect をインストールします
  2. NC Protect の管理サイトにログインします
  3. 左側のナビゲーション メニューで、[General] -> [User Activity Monitoring] を選択します
  4. [Enable SIEM] チェック ボックスをオンにし、[Configure] ボタンをクリックします
  5. アプリケーションとして [Microsoft Sentinel] を選択し、以下の情報を使用して構成を完了します
  6. [Save] をクリックして接続をアクティブにします

次の手順

詳細については、Azure Marketplace の関連ソリューションを参照してください。