你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 Netclean ProActive Incidents 连接器
此连接器使用 Netclean Webhook(必需)和逻辑应用将数据推送到 Microsoft Sentinel Log Analytics
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | Netclean_Incidents_CL |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | NetClean |
查询示例
Netclean - 所有活动。
Netclean_Incidents_CL
| sort by TimeGenerated desc
供应商安装说明
注意
数据连接器依赖于 Azure 逻辑应用来接收数据并将其推送到 Log Analytics 这可能会导致额外的数据引入成本。 可以在没有逻辑应用或 NetClean Proactive 的情况下对此进行测试 请参阅选项 2
选项 1:部署逻辑应用(需要 NetClean Proactive)
- 在此处下载并安装逻辑应用:https://portal.azure.com/#create/netcleantechnologiesab1651557549734.netcleanlogicappnetcleanproactivelogicapp)
- 转到新创建的逻辑应用 在逻辑应用设计器中,单击“+ 新建步骤”,搜索“Azure Log Analytics 数据收集器”,单击它并选择“发送数据”
在 Json 请求正文中输入自定义日志名称 Netclean_Incidents 和一个虚拟值,然后单击“保存” 转到顶部功能区上的代码视图,向下滚动到第 100 行,它应以“Body”开头
将该行整体替换为:
"body": "{\n"Hostname":"@{variables('machineName')}",\n"agentType":"@{triggerBody()['value']['agent']['type']}",\n"Identifier":"@{triggerBody()?['key']?['identifier']}",\n"type":"@{triggerBody()?['key']?['type']}",\n"version":"@{triggerBody()?['value']?['incidentVersion']}",\n"foundTime":"@{triggerBody()?['value']?['foundTime']}",\n"detectionMethod":"@{triggerBody()?['value']?['detectionHashType']}",\n"agentInformatonIdentifier":"@{triggerBody()?['value']?['device']?['identifier']}",\n"osVersion":"@{triggerBody()?['value']?['device']?['operatingSystemVersion']}",\n"machineName":"@{variables('machineName')}",\n"microsoftCultureId":"@{triggerBody()?['value']?['device']?['microsoftCultureId']}",\n"timeZoneId":"@{triggerBody()?['value']?['device']?['timeZoneName']}",\n"microsoftGeoId":"@{triggerBody()?['value']?['device']?['microsoftGeoId']}",\n"domainname":"@{variables('domain')}",\n"Agentversion":"@{triggerBody()['value']['agent']['version']}",\n"Agentidentifier":"@{triggerBody()['value']['identifier']}",\n"loggedOnUsers":"@{variables('Usernames')}",\n"size":"@{triggerBody()?['value']?['file']?['size']}",\n"creationTime":"@{triggerBody()?['value']?['file']?['creationTime']}",\n"lastAccessTime":"@{triggerBody()?['value']?['file']?['lastAccessTime']}",\n"lastWriteTime":"@{triggerBody()?['value']?['file']?['lastModifiedTime']}",\n"sha1":"@{triggerBody()?['value']?['file']?['calculatedHashes']?['sha1']}",\n"nearbyFiles_sha1":"@{variables('nearbyFiles_sha1s')}",\n"externalIP":"@{triggerBody()?['value']?['device']?['resolvedExternalIp']}",\n"domain":"@{variables('domain')}",\n"hasCollectedNearbyFiles":"@{variables('hasCollectedNearbyFiles')}",\n"filePath":"@{replace(triggerBody()['value']['file']['path'], '\', '\\')}",\n"m365WebUrl":"@{triggerBody()?['value']?['file']?['microsoft365']?['webUrl']}",\n"m365CreatedBymail":"@{triggerBody()?['value']?['file']?['createdBy']?['graphIdentity']?['user']?['mail']}",\n"m365LastModifiedByMail":"@{triggerBody()?['value']?['file']?['lastModifiedBy']?['graphIdentity']?['user']?['mail']}",\n"m365LibraryId":"@{triggerBody()?['value']?['file']?['microsoft365']?['library']?['id']}",\n"m365LibraryDisplayName":"@{triggerBody()?['value']?['file']?['microsoft365']?['library']?['displayName']}",\n"m365Librarytype":"@{triggerBody()?['value']?['file']?['microsoft365']?['library']?['type']}",\n"m365siteid":"@{triggerBody()?['value']?['file']?['microsoft365']?['site']?['id']}",\n"m365sitedisplayName":"@{triggerBody()?['value']?['file']?['microsoft365']?['site']?['displayName']}",\n"m365sitename":"@{triggerBody()?['value']?['file']?['microsoft365']?['parent']?['name']}",\n"countOfAllNearByFiles":"@{variables('countOfAllNearByFiles')}",\n\n}",
单击“保存”
3. 复制 HTTP POST URL 4. 转到 NetClean ProActive Web 控制台,然后转到“设置”,在“Webhook”下,使用从步骤 3 复制的 URL 配置新的 Webhook 5. 通过触发演示事件来验证功能。
选项 2(仅测试)
使用 API 函数引入数据。 请使用在使用 HTTP 数据收集器 API 将日志数据发送到 Azure Monitor(预览版)上找到的脚本
将 CustomerId 和 SharedKey 值替换为你的值 将 $json 变量中的内容替换为示例数据。
将 LogType 变量设置为 Netclean_Incidents_CL 运行脚本
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。