Microsoft Sentinel için NC Koruma bağlayıcısı
NC Veri Koruma Bağlayıcısı (archtis.com), kullanıcı etkinlik günlüklerini ve olaylarını Microsoft Sentinel'e alma özelliği sağlar. Bağlayıcı, izleme ve araştırma özelliklerini geliştirmek için Microsoft Sentinel'de kullanıcı etkinlik günlüklerini ve olaylarını koruma NC'ye görünürlük sağlar
Bağlayıcı öznitelikleri
| Bağlayıcı özniteliği | Description |
|---|---|
| Log Analytics tabloları | NCProtectUAL_CL |
| Veri toplama kuralları desteği | Şu anda desteklenmiyor |
| Destekleyen | archTIS |
Sorgu örnekleri
Son 7 günlük kayıtları alma
NCProtectUAL_CL
| where TimeGenerated > ago(7d)
| order by TimeGenerated desc
Kullanıcı tarafından saatte 3'ten fazla kez art arda oturum açılamadı
NCProtectUAL_CL
| where TimeGenerated > ago(1h) and Type_s == 'LoginFailure'
| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s
| where FailedRequestCount > 3
İndirme işlemi kullanıcı tarafından saatte 3'ten fazla kez art arda başarısız oldu
NCProtectUAL_CL
| where TimeGenerated > ago(1h) and Type_s == 'Open' and Status_s == 'Fail'
| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s, DocumentUrl_s
| where FailedRequestCount > 3
Son 7 gün içinde oluşturulan, değiştirilen veya silinen kayıtların günlüklerini alma
NCProtectUAL_CL
| where TimeGenerated > ago(7d) and (Type_s == 'Create' or Type_s == 'Modify' or Type_s == 'Delete') and isnotempty(RuleName_s)
| order by TimeGenerated desc
Önkoşullar
NC Protect ile tümleştirmek için aşağıdakilere sahip olduğunuzdan emin olun:
- NC Koruması: O365 için çalışan bir NC Protect örneğine sahip olmanız gerekir. Lütfen bizimle iletişime geçin.
Satıcı yükleme yönergeleri
- Azure Kiracınıza NC Koruması yükleme
- NC Yönetimi Koru sitesinde oturum açın
- Sol gezinti menüsünden Genel -> Kullanıcı Etkinliği İzleme'yi seçin
- SIEM'yi Etkinleştir onay kutusunu işaretleyin ve Yapılandır düğmesine tıklayın
- Uygulama olarak Microsoft Sentinel'i seçin ve aşağıdaki bilgileri kullanarak yapılandırmayı tamamlayın
- Bağlantıyı etkinleştirmek için Kaydet'e tıklayın
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.