Microsoft Sentinel için Netclean ProActive Incidents bağlayıcısı
Bu bağlayıcı, Microsoft Sentinel Log Analytics'e veri göndermek için Netclean Web kancasını (gerekli) ve Logic Apps'i kullanır
Bağlayıcı öznitelikleri
Bağlayıcı özniteliği | Açıklama |
---|---|
Log Analytics tabloları | Netclean_Incidents_CL |
Veri toplama kuralları desteği | Şu anda desteklenmiyor |
Destekleyen: | NetClean |
Sorgu örnekleri
Netclean - Tüm Etkinlikler.
Netclean_Incidents_CL
| sort by TimeGenerated desc
Satıcı yükleme yönergeleri
Not
Veri bağlayıcısı, Log Analytics'e veri almak ve göndermek için Azure Logic Apps'i kullanır. Bu da ek veri alımı maliyetlerine neden olabilir. Logic Apps veya NetClean Proaktif bkz. seçenek 2 olmadan bunu test etmek mümkündür
Seçenek 1: Mantıksal uygulama dağıtma (NetClean Proaktif gerektirir)
- Mantıksal uygulamayı buradan indirip yükleyin: https://portal.azure.com/#create/netcleantechnologiesab1651557549734.netcleanlogicappnetcleanproactivelogicapp)
- Yeni oluşturduğunuz mantıksal uygulamanıza gidin Mantıksal uygulama tasarımcınızda +Yeni Adım'a tıklayın ve "Azure Log Analytics Veri Toplayıcı" araması yapın, tıklayın ve "Veri Gönder"i seçin
Json isteği gövdesine Özel Günlük Adı: Netclean_Incidents ve sahte bir değer girin, üst şeritteki Kod görünümüne git'e tıklayın ve aşağı kaydırarak "Gövde" ile başlaması gereken ~100 satırına gelin
satırı şu şekilde değiştirin:
"body": "{\n"Hostname":"@{variables('machineName')}",\n"agentType":"@{triggerBody()['value']['agent']['type']}",\n"Identifier":"@{triggerBody()?[' key']? ['identifier']}",\n"type":"@{triggerBody()?[' key']? ['type']}",\n"version":"@{triggerBody()?[' değer']? ['incidentVersion']}",\n"foundTime":"@{triggerBody()?[' değer']? ['foundTime']}",\n"detectionMethod":"@{triggerBody()?[' değer']? ['detectionHashType']}",\n"agentInformatonIdentifier":"@{triggerBody()?[' değer']? ['device']? ['identifier']}",\n"osVersion":"@{triggerBody()?[' değer']? ['device']? ['operatingSystemVersion']}",\n"machineName":"@{variables('machineName')}",\n"microsoftCultureId":"@{triggerBody()?[' değer']? ['device']? ['microsoftCultureId']}",\n"timeZoneId":"@{triggerBody()?[' değer']? ['device']? ['timeZoneName']}",\n"microsoftGeoId":"@{triggerBody()?[' değer']? ['device']? ['microsoftGeoId']}",\n"domainname":"@{variables('domain')}",\n"Agentversion":"@{triggerBody()['value']['agent']['version']}",\n "Agentidentifier":"@{triggerBody()['value']['identifier']}",\n"loggedOnUsers":"@{variables('Usernames')}",\n"size":"@{triggerBody()?[' değer']? ['file']? ['size']}",\n"creationTime":"@{triggerBody()?[' değer']? ['file']? ['creationTime']}",\n"lastAccessTime":"@{triggerBody()?[' değer']? ['file']? ['lastAccessTime']}",\n"lastWriteTime":"@{triggerBody()?[' değer']? ['file']? ['lastModifiedTime']}",\n"sha1":"@{triggerBody()?[' değer']? ['file']? ['calculatedHashes']? ['sha1']}",\n"nearbyFiles_sha1":"@{variables('nearbyFiles_sha1s')}",\n"externalIP":"@{triggerBody()?[' değer']? ['device']? ['resolvedExternalIp']}",\n"domain":"@{variables('domain')}",\n"hasCollectedNearbyFiles":"@{variables('hasCollectedNearbyFiles')}",\n"filePath":"@{replace(triggerBody()['value']['file']['path'], '\', '\\')}",\n"m365WebUrl":"@{triggerBody()?[' değer']? ['file']? ['microsoft365']? ['webUrl']}",\n"m365CreatedBymail":"@{triggerBody()?[' değer']? ['file']? ['createdBy']? ['graphIdentity']? ['user']? ['mail']}",\n"m365LastModifiedByMail":"@{triggerBody()?[' değer']? ['file']? ['lastModifiedBy']? ['graphIdentity']? ['user']? ['mail']}",\n"m365LibraryId":"@{triggerBody()?[' değer']? ['file']? ['microsoft365']? ['library']? ['id']}",\n"m365LibraryDisplayName":"@{triggerBody()?[' değer']? ['file']? ['microsoft365']? ['library']? ['displayName']}",\n"m365Librarytype":"@{triggerBody()?[' değer']? ['file']? ['microsoft365']? ['library']? ['type']}",\n"m365siteid":"@{triggerBody()?[' değer']? ['file']? ['microsoft365']? ['site']? ['id']}",\n"m365sitedisplayName":"@{triggerBody()?[' değer']? ['file']? ['microsoft365']? ['site']? ['displayName']}",\n"m365sitename":"@{triggerBody()?[' değer']? ['file']? ['microsoft365']? ['parent']? ['name']}",\n"countOfAllNearByFiles":"@{variables('countOfAllNearByFiles')}",\n\n}",
kaydet'e tıklayın
3. HTTP POST URL 4'lerini kopyalayın. NetClean ProActive web konsolunuza gidin ve Ayarlar'a gidin, Web Kancası altında 3. adımdan kopyalanan URL'yi kullanarak yeni bir web kancası yapılandırın. Tanıtım Olayı tetikleyerek işlevselliği doğrulayın.
2. Seçenek (Yalnızca test)
Api işlevi kullanarak veri alma. HTTP Veri Toplayıcı API'sini kullanarak günlük verilerini Azure İzleyici'ye gönderme konusunda bulunan betiği kullanın
CustomerId ve SharedKey değerlerini değerlerinizle değiştirin $json değişkenindeki içeriği örnek verilerle değiştirin.
LogType değişkenini Netclean_Incidents_CL Betiği çalıştır olarak ayarlayın
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.