Microsoft Sentinel 用 NXLog FIM コネクタ
NXLog FIM モジュールを使用すると、ファイルやディレクトリをスキャンしたり、検出された追加、変更、名前変更、および削除を、連続スキャン中に計算されたチェックサムを使用して報告したりすることができます。 この REST API コネクタを使用すると、構成された FIM イベントをリアルタイムで Microsoft Sentinel に効率的にエクスポートできます。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | NXLogFIM_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | NXLog |
クエリのサンプル
すべての DELETE イベントの検索
NXLogFIM_CL
| where EventType_s == 'DELETE'
| project-away
SourceSystem,
Type
| sort by EventTime_t
種類ごと、ホストごとのイベントの横棒グラフ
NXLogFIM_CL
| summarize EventCount = count() by Hostname_s, EventType_s
| where strlen(EventType_s) > 1
| project Eventype = Hostname_s, EventType_s, EventCount
| order by EventCount desc
| render barchart
ホストごとのイベントの視覚化の円グラフ
NXLogFIM_CL
| summarize EventCount = count() by Hostname_s, EventType_s
| sort by EventCount
| render piechart
ホストごとのイベントの概要
NXLogFIM_CL
| summarize count() by Hostname_s, EventType_s
ベンダーのインストール手順
このコネクタを構成するには、「NXLog ユーザー ガイド」の「Microsoft Sentinel」統合に関する章にある詳細な手順に従ってください。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。