Łącznik NC Protect dla usługi Microsoft Sentinel
Nc Protect Data Połączenie or (archtis.com) zapewnia możliwość pozyskiwania dzienników aktywności użytkownika i zdarzeń do usługi Microsoft Sentinel. Łącznik zapewnia wgląd w dzienniki aktywności i zdarzenia użytkownika w usłudze Microsoft Sentinel w celu zwiększenia możliwości monitorowania i badania
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
| atrybut Połączenie or | opis |
|---|---|
| Tabele usługi Log Analytics | NCProtectUAL_CL |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | archTIS |
Przykłady zapytań
Pobieranie rekordów z ostatnich 7 dni
NCProtectUAL_CL
| where TimeGenerated > ago(7d)
| order by TimeGenerated desc
Logowanie nie powiodło się po kolei przez więcej niż 3 razy w ciągu godziny przez użytkownika
NCProtectUAL_CL
| where TimeGenerated > ago(1h) and Type_s == 'LoginFailure'
| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s
| where FailedRequestCount > 3
Pobieranie nie powiodło się po raz kolejny przez użytkownika przez ponad 3 razy w ciągu godziny
NCProtectUAL_CL
| where TimeGenerated > ago(1h) and Type_s == 'Open' and Status_s == 'Fail'
| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s, DocumentUrl_s
| where FailedRequestCount > 3
Pobieranie dzienników dla rekordów utworzonych lub zmodyfikowanych lub usuniętych w ciągu ostatnich 7 dni
NCProtectUAL_CL
| where TimeGenerated > ago(7d) and (Type_s == 'Create' or Type_s == 'Modify' or Type_s == 'Delete') and isnotempty(RuleName_s)
| order by TimeGenerated desc
Wymagania wstępne
Aby zintegrować aplikację NC Protect, upewnij się, że:
- NC Protect: musisz mieć uruchomione wystąpienie nc Protect dla usługi O365. Skontaktuj się z nami.
Instrukcje instalacji dostawcy
- Instalowanie rozwiązania NC Protect w dzierżawie platformy Azure
- Zaloguj się do witryny Administracja istration nc Protect
- W menu nawigacji po lewej stronie wybierz pozycję Ogólne —> Monitorowanie aktywności użytkownika
- Zaznacz pole wyboru, aby włączyć usługę SIEM i kliknij przycisk Konfiguruj.
- Wybierz pozycję Microsoft Sentinel jako aplikację i ukończ konfigurację, korzystając z poniższych informacji
- Kliknij przycisk Zapisz, aby aktywować połączenie
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.