Conector do Netclean ProActive Incidents para o Microsoft Sentinel
Esse conector usa o Netclean Webhook (obrigatório) e os Aplicativos Lógicos do Azure para enviar dados para o Log Analytics do Microsoft Sentinel
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | Netclean_Incidents_CL |
| Suporte às regras de coleta de dados | Sem suporte no momento |
| Com suporte por | NetClean |
Exemplos de consulta
Netclean - Todas as atividades.
Netclean_Incidents_CL
| sort by TimeGenerated desc
Instruções de instalação do fornecedor
Observação
O conector de dados depende dos Aplicativos Lógicos do Azure para receber e enviar dados para o Log Analytics. Isso pode resultar em custos adicionais de ingestão de dados. É possível testar isso sem o Aplicativos Lógicos do Azure ou o NetClean Proactive, consulte a opção 2
Opção 1: implementar o aplicativo Lógico (requer o NetClean Proactive)
- Faça o download e instale o aplicativo Lógico aqui: https://portal.azure.com/#create/netcleantechnologiesab1651557549734.netcleanlogicappnetcleanproactivelogicapp)
- Acesse seu aplicativo lógico recém-criado em seu designer de aplicativo lógico, clique em +Nova Etapa e procure por "Coletor de dados do Azure Log Analytics", clique nele e selecione "Enviar dados"
Insira o Nome do Log Personalizado: Netclean_Incidents e um valor fictício no corpo da solicitação Json e clique em salvar Ir para a visualização do código na faixa de opções superior e role para baixo até a linha ~100 que deve começar com "Body"
substitua a linha inteiramente por:
"Body": "{\n"Hostname":"@{variables('machineName')}",\n"agentType":"@{triggerBody()['value']['agent']['type']}",\n"Identifier":"@{triggerBody()?['key']?['identifier']}",\n"type":"@{triggerBody()?['key']?['type']}",\n"version":"@{triggerBody()?['value']?['incidentVersion']}",\n"foundTime":"@{triggerBody()?['value']?['foundTime']}",\n"detectionMethod":"@{triggerBody()?['value']?['detectionHashType']}",\n"agentInformatonIdentifier":"@{triggerBody()?['value']?['device']?['identifier']}",\n"osVersion":"@{triggerBody()?['value']?['device']?['operatingSystemVersion']}",\n"machineName":"@{variables('machineName')}",\n"microsoftCultureId":"@{triggerBody()?['value']?['device']?['microsoftCultureId']}",\n"timeZoneId":"@{triggerBody()?['value']?['device']?['timeZoneName']}",\n"microsoftGeoId":"@{triggerBody()?['value']?['device']?['microsoftGeoId']}",\n"domainname":"@{variables('domain')}",\n"Agentversion":"@{triggerBody()['value']['agent']['version']}",\n"Agentidentifier":"@{triggerBody()['value']['identifier']}",\n"loggedOnUsers":"@{variables('Usernames')}",\n"size":"@{triggerBody()?['value']?['file']?['size']}",\n"creationTime":"@{triggerBody()?['value']?['file']?['creationTime']}",\n"lastAccessTime":"@{triggerBody()?['value']?['file']?['lastAccessTime']}",\n"lastWriteTime":"@{triggerBody()?['value']?['file']?['lastModifiedTime']}",\n"sha1":"@{triggerBody()?['value']?['file']?['calculatedHashes']?['sha1']}",\n"nearbyFiles_sha1":"@{variables('nearbyFiles_sha1s')}",\n"externalIP":"@{triggerBody()?['value']?['device']?['resolvedExternalIp']}",\n"domain":"@{variables('domain')}",\n"hasCollectedNearbyFiles":"@{variables('hasCollectedNearbyFiles')}",\n"filePath":"@{replace(triggerBody()['value']['file']['path'], '\', '\\')}",\n"m365WebUrl":"@{triggerBody()?['value']?['file']?['microsoft365']?['webUrl']}",\n"m365CreatedBymail":"@{triggerBody()?['value']?['file']?['createdBy']?['graphIdentity']?['user']?['mail']}",\n"m365LastModifiedByMail":"@{triggerBody()?['value']?['file']?['lastModifiedBy']?['graphIdentity']?['user']?['mail']}",\n"m365LibraryId":"@{triggerBody()?['value']?['file']?['microsoft365']?['library']?['id']}",\n"m365LibraryDisplayName":"@{triggerBody()?['value']?['file']?['microsoft365']?['library']?['displayName']}",\n"m365Librarytype":"@{triggerBody()?['value']?['file']?['microsoft365']?['library']?['type']}",\n"m365siteid":"@{triggerBody()?['value']?['file']?['microsoft365']?['site']?['id']}",\n"m365sitedisplayName":"@{triggerBody()?['value']?['file']?['microsoft365']?['site']?['displayName']}",\n"m365sitename":"@{triggerBody()?['value']?['file']?['microsoft365']?['parent']?['name']}",\n"countOfAllNearByFiles":"@{variables('countOfAllNearByFiles')}",\n\n}",
clique em salvar
3. Copie o URL HTTP POST 4. Vá para o console da Web do NetClean ProActive e acesse as configurações. Em Webhook, configure um novo webhook usando a URL copiada na etapa 3. 5. Verifique a funcionalidade acionando um Incidente de Demonstração.
Opção 2 (Apenas teste)
Ingerir dados usando uma função de API. Use o script encontrado em Enviar dados de log para o Azure Monitor usando a API do Coletor de Dados HTTP
Substitua os valores de CustomerId e SharedKey por seus valores Substitua o conteúdo da variável $json pelos dados de amostra.
Defina a variável LogType para Executar o script Netclean_Incidents_CL
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.