你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 BETTER Mobile Threat Defense (MTD) 连接器
BETTER MTD 连接器允许企业将其 Better MTD 实例与 Microsoft Sentinel 连接,以在仪表板中查看其数据、创建自定义警报、使用它触发 Playbook 和扩展威胁搜寻功能。 这使用户能够更深入地了解其组织的移动设备,并快速分析当前的移动安全状况,从而提高整体 SecOps 功能。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | BetterMTDIncidentLog_CL BetterMTDDeviceLog_CL BetterMTDAppLog_CL BetterMTDNetflowLog_CL |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | Better Mobile Security Inc. |
查询示例
过去 24 小时内的所有威胁
BetterMTDIncidentLog_CL
| where TimeGenerated > ago(24h)
| sort by TimeGenerated
| limit 100
过去 24 小时内注册的设备
BetterMTDDeviceLog_CL
| where TimeGenerated > ago(24h)
| sort by TimeGenerated
| limit 100
过去 24 小时内安装的应用程序
BetterMTDAppLog_CL
| where TimeGenerated > ago(24h) and AppStatus_s == "installed"
| sort by TimeGenerated
| limit 100
过去 24 小时内阻止的网络流量
BetterMTDNetflowLog_CL
| where TimeGenerated > ago(24h) and Status_s == "blocked"
| sort by TimeGenerated
| limit 100
供应商安装说明
- 在 Better MTD 控制台中,单击侧边栏上的“集成”。
- 选择“其他”选项卡。
- 单击“添加帐户”按钮,然后从可用集成中选择““Microsoft Sentinel”。
- 创建集成:
- 将
ACCOUNT NAME设置为用于标识集成的描述性名称,然后单击“下一步” - 在以下字段中输入
WORKSPACE ID和PRIMARY KEY,单击“保存” - 单击“完成”
- 威胁策略设置(应向
Microsoft Sentinel报告哪些事件):
- 在 Better MTD 控制台中,单击侧边栏上的“策略”。
- 单击你正在使用的策略的“编辑”按钮。
- 对于想要记录的每种事件类型,请转到“发送到集成”字段,然后选择“Sentinel”
- 有关其他信息,请参阅我们的文档。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。