Share via

Netclean ProActive Incidents-connector voor Microsoft Sentinel

  • Artikel

Deze connector maakt gebruik van de Netclean Webhook (vereist) en Logic Apps om gegevens naar Microsoft Sentinel Log Analytics te pushen

Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.

Verbinding maken orkenmerken

Verbinding maken orkenmerk Beschrijving
Log Analytics-tabellen Netclean_Incidents_CL
Ondersteuning voor regels voor gegevensverzameling Wordt momenteel niet ondersteund
Ondersteund door Netclean

Voorbeelden van query's

Netclean - Alle activiteiten.

Netclean_Incidents_CL 
| sort by TimeGenerated desc

Installatie-instructies van leverancier

Notitie

De gegevensconnector is afhankelijk van Azure Logic Apps voor het ontvangen en pushen van gegevens naar Log Analytics. Dit kan leiden tot extra kosten voor gegevensopname. Het is mogelijk om dit te testen zonder Logic Apps of NetClean Proactive zie optie 2

Optie 1: logische app implementeren (vereist NetClean Proactive)

  1. Download en installeer de logische app hier: https://portal.azure.com/#create/netcleantechnologiesab1651557549734.netcleanlogicappnetcleanproactivelogicapp)
  2. Ga naar de zojuist gemaakte logische app in de ontwerpfunctie van uw logische app, klik op +Nieuwe stap en zoek naar 'Azure Log Analytics-gegevensverzamelaar' en selecteer Gegevens verzenden
    Voer de naam van het aangepaste logboek in: Netclean_Incidents en een dummywaarde in de hoofdtekst van de Json-aanvraag en klik op Opslaan ga naar de codeweergave op het bovenste lint en schuif omlaag naar regel ~100 die moet beginnen met 'Hoofdtekst'
    vervang de regel entirly door:

"body": "{\n"Hostname":"@{variables('machineName')}",\n"agentType":"@{triggerBody()['value']['agent']['type']}",\n"Identifier":"@{triggerBody()?[' sleutel']? ['id']}",\n"type":"@{triggerBody()?[' sleutel']? ['type']}",\n"version":"@{triggerBody()?[' waarde']? ['incidentVersion']}",\n"foundTime":"@{triggerBody()?[' waarde']? ['foundTime']}",\n"detectionMethod":"@{triggerBody()?[' waarde']? ['detectionHashType']}",\n"agentInformatonIdentifier":"@{triggerBody()?[' waarde']? ['apparaat']? ['identifier']}",\n"osVersion":"@{triggerBody()?[' waarde']? ['apparaat']? ['operatingSystemVersion']}",\n"machineName":"@{variables('machineName')}",\n"microsoftCultureId":"@{triggerBody()?[' waarde']? ['apparaat']? ['microsoftCultureId']}",\n"timeZoneId":"@{triggerBody()?[' waarde']? ['apparaat']? ['timeZoneName']}",\n"microsoftGeoId":"@{triggerBody()?[' waarde']? ['apparaat']? ['microsoftGeoId']}",\n"domeinnaam":"@{variables('domain')}",\n"Agentversion":"@{triggerBody()['value']['agent']['version']}",\n"Agentidentifier":"@{triggerBody()['value']['identifier']}",\n"loggedOnUsers":"@{variables('Usernames')}",\n"size":"@{triggerBody()?[' waarde']? ['bestand']? ['size']}",\n"creationTime":"@{triggerBody()?[' waarde']? ['bestand']? ['creationTime']}",\n"lastAccessTime":"@{triggerBody()?[' waarde']? ['bestand']? ['lastAccessTime']}",\n"lastWriteTime":"@{triggerBody()?[' waarde']? ['bestand']? ['lastModifiedTime']}",\n"sha1":"@{triggerBody()?[' waarde']? ['bestand']? ['calculatedHashes']? ['sha1']}",\n"nearbyFiles_sha1":"@{variables('nearbyFiles_sha1s')}",\n"externalIP":"@{triggerBody()?[' waarde']? ['apparaat']? ['resolvedExternalIp']}",\n"domain":"@{variables('domain')}",\n"hasCollectedNearbyFiles":"@{variables('hasCollectedNearbyFiles')}",\n"filePath":"@{replace(triggerBody()['value']['file']['path'], '\', '\\')}",\n"m365WebUrl":"@{triggerBody()?[' waarde']? ['bestand']? ['microsoft365']? ['webUrl']}",\n"m365CreatedBymail":"@{triggerBody()?[' waarde']? ['bestand']? ['createdBy']? ['graphIdentity']? ['gebruiker']? ['mail']}",\n"m365LastModifiedByMail":"@{triggerBody()?[' waarde']? ['bestand']? ['lastModifiedBy']? ['graphIdentity']? ['gebruiker']? ['mail']}",\n"m365LibraryId":"@{triggerBody()?[' waarde']? ['bestand']? ['microsoft365']? ['bibliotheek']? ['id']}",\n"m365LibraryDisplayName":"@{triggerBody()?[' waarde']? ['bestand']? ['microsoft365']? ['bibliotheek']? ['displayName']}",\n"m365Librarytype":"@{triggerBody()?[' waarde']? ['bestand']? ['microsoft365']? ['bibliotheek']? ['type']}",\n"m365siteid":"@{triggerBody()?[' waarde']? ['bestand']? ['microsoft365']? ['site']? ['id']}",\n"m365sitedisplayName":"@{triggerBody()?[' waarde']? ['bestand']? ['microsoft365']? ['site']? ['displayName']}",\n"m365sitename":"@{triggerBody()?[' waarde']? ['bestand']? ['microsoft365']? ['ouder']? ['name']}",\n"countOfAllNearByFiles":"@{variables('countOfAllNearByFiles')}",\n\n}",
klik op Opslaan
3. Kopieer de HTTP POST-URL 4. Ga naar uw NetClean ProActive-webconsole en ga naar instellingen. Onder Webhook configureert u een nieuwe webhook met behulp van de URL die u hebt gekopieerd uit stap 3 5. Controleer de functionaliteit door een demo-incident te activeren.

Optie 2 (alleen testen)

Gegevens opnemen met behulp van een API-functie. Gebruik het script dat is gevonden bij Logboekgegevens verzenden naar Azure Monitor met behulp van de HTTP Data Collector-API
Vervang de waarden CustomerId en SharedKey door uw waarden Vervang de inhoud in $json variabele door de voorbeeldgegevens. Stel het LogType varible in op Netclean_Incidents_CL Het script uitvoeren

Volgende stappen

Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.