Conector do NC Protect para Microsoft Sentinel
O Conector de Dados NC Protect (archtis.com) oferece a capacidade de ingerir logs de atividades do usuário e eventos no Microsoft Sentinel. O conector fornece visibilidade dos logs e eventos de atividades do usuário do NC Protect no Microsoft Sentinel para melhorar os recursos de monitoramento e investigação
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | NCProtectUAL_CL |
| Suporte às regras de coleta de dados | Sem suporte no momento |
| Com suporte por | archTIS |
Exemplos de consulta
Obter os registros dos últimos sete dias
NCProtectUAL_CL
| where TimeGenerated > ago(7d)
| order by TimeGenerated desc
Falha de logon consecutivamente por mais de três vezes em uma hora por usuário
NCProtectUAL_CL
| where TimeGenerated > ago(1h) and Type_s == 'LoginFailure'
| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s
| where FailedRequestCount > 3
O download falhou consecutivamente por mais de três vezes em uma hora por usuário
NCProtectUAL_CL
| where TimeGenerated > ago(1h) and Type_s == 'Open' and Status_s == 'Fail'
| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s, DocumentUrl_s
| where FailedRequestCount > 3
Obter logs de regras criadas, modificadas ou excluídas nos últimos sete dias
NCProtectUAL_CL
| where TimeGenerated > ago(7d) and (Type_s == 'Create' or Type_s == 'Modify' or Type_s == 'Delete') and isnotempty(RuleName_s)
| order by TimeGenerated desc
Pré-requisitos
Para integrar com o NC Protect, verifique se você tem:
- NC Protect: você deve ter uma instância em execução do NC Protect para O365. Entre em contato conosco.
Instruções de instalação do fornecedor
- Instalar o NC Protect em sua Locação do Azure
- Fazer logon no site de Administração do NC Protect
- No menu de navegação à esquerda, selecione Geral –> Monitoramento de atividades do usuário
- Marque a caixa de seleção para Habilitar SIEM e clique no botão Configurar
- Selecione o Microsoft Sentinel como Aplicativo e conclua a configuração usando as informações abaixo
- Clique em Salvar para ativar a conexão.
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.