Microsoft Sentinel 的 Netclean ProActive Incidents 連接器
此連接器會使用 Netclean Webhook (必要) 和 Logic Apps 將數據推送至 Microsoft Sentinel Log Analytics
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
| 連線 or 屬性 | 描述 |
|---|---|
| Log Analytics 數據表(s) | Netclean_Incidents_CL |
| 數據收集規則支援 | 目前不支援 |
| 支援者: | NetClean |
查詢範例
Netclean - 所有活動。
Netclean_Incidents_CL
| sort by TimeGenerated desc
廠商安裝指示
注意
數據連接器依賴 Azure Logic Apps 來接收和推送數據至 Log Analytics 這可能會導致額外的數據擷取成本。 若沒有 Logic Apps 或 NetClean 主動式,即可測試此選項,請參閱選項 2
選項 1:部署邏輯應用程式(需要 NetClean 主動式)
- 在這裡下載並安裝邏輯應用程式: https://portal.azure.com/#create/netcleantechnologiesab1651557549734.netcleanlogicappnetcleanproactivelogicapp
- 移至新建立的邏輯應用程式 在邏輯應用程式設計工具中,按兩下 [+新增步驟],搜尋 [Azure Log Analytics 數據收集器],按兩下它並選取 [傳送數據]
輸入自定義記錄檔名稱:Netclean_Incidents Json 要求本文中的虛擬值,然後按兩下頂端功能區上的 [移至程式代碼檢視],然後向下卷動至應該以 “Body” 開頭的第 ~100 行
將行取代為:
“body”: “{\n”Hostname“:”@{variables('machineName')}“,\n”agentType“:”@{triggerBody()['value']['agent']['type']}“,\n”Identifier“:”@{triggerBody()?['key']?['identifier']}“,\n”type“:”@{triggerBody()?['key']?['type']}“,\n”version“:”@{triggerBody()?['value']?['incidentVersion']}“,\n”foundTime“:”@{triggerBody()?['value']?['foundTime']}“,\n”detectionMethod“:”@{triggerBody()?['value']?['detectionHashType']}“,\n”agentInformatonIdentifier“:”@{triggerBody()?['value']?['device']?['identifier']}“,\n”osVersion“:”@{triggerBody()?['value']?['device']?['operatingSystemVersion']}“,\n”machineName“:”@{variables('machineName')}“,\n”microsoftCultureId“:”@{triggerBody()?['value']?['device']?['microsoftCultureId']}“,\n”timeZoneId“:”@{triggerBody()?['value']?['device']?['timeZoneName']}“,\n”microsoftGeoId“:”@{triggerBody()?['value']?['device']?['microsoftGeoId']}“,\n”domainname“:”@{variables('domain')}“,\n”Agentversion“:”@{triggerBody()['value']['agent']['version']}“,\n”Agentidentifier“:”@{triggerBody()['value']['identifier']}“,\n”loggedOnUsers“:”@{variables('Usernames')}“,\n”size“:”@{triggerBody()?['value']?['file']?['size']}“,\n”creationTime“:”@{triggerBody()?['value']?['file']?['creationTime']}“,\n”lastAccessTime“:”@{triggerBody()?['value']?['file']?['lastAccessTime']}“,\n”lastWriteTime“:”@{triggerBody()?['value']?['file']?['lastModifiedTime']}“,\n”sha1“:”@{triggerBody()?['value']?['file']?['calculatedHashes']?['sha1']}“,\n”nearbyFiles_sha1“:”@{variables('nearbyFiles_sha1s')}“,\n”externalIP“:”@{triggerBody()?['value']?['device']?['resolvedExternalIp']}“,\n”domain“:”@{variables('domain')}“,\n”hasCollectedNearbyFiles“:”@{variables('hasCollectedNearbyFiles')}“,\n”filePath“:”@{replace(triggerBody()['value']['file']['path'], '\', '\\')}“,\n”m365WebUrl“:”@{triggerBody()?['value']?['file']?['microsoft365']?['webUrl']}“,\n”m365CreatedBymail“:”@{triggerBody()?['value']?['file']?['createdBy']?['graphIdentity']?['user']?['mail']}“,\n”m365LastModifiedByMail“:”@{triggerBody()?['value']?['file']?['lastModifiedBy']?['graphIdentity']?['user']?['mail']}“,\n”m365LibraryId“:”@{triggerBody()?['value']?['file']?['microsoft365']?['library']?['id']}“,\n”m365LibraryDisplayName“:”@{triggerBody()?['value']?['file']?['microsoft365']?['library']?['displayName']}“,\n”m365Librarytype“:”@{triggerBody()?['value']?['file']?['microsoft365']?['library']?['type']}“,\n”m365siteid“:”@{triggerBody()?['value']?['file']?['microsoft365']?['site']?['id']}“,\n”m365sitedisplayName“:”@{triggerBody()?['value']?['file']?['microsoft365']?['site']?['displayName']}“,\n”m365sitename“:”@{triggerBody()?['value']?['file']?['microsoft365']?['parent']?['name']}“,\n”countOfAllNearByFiles“:”@{variables('countOfAllNearByFiles')}“,\n\n}”,
點選 [儲存]
3.複製 HTTP POST URL 4。移至您的 NetClean ProActive Web 控制台,然後移至 [設定],在 [Webhook] 底下,使用從步驟 3 5 複製的 URL 來設定新的 Webhook。藉由觸發示範事件來驗證功能。
選項 2 (僅測試 )
使用 API 函式擷取數據。 請使用 HTTP 資料收集器 API 將記錄資料傳送至 Azure 監視器上 找到的腳稿
將 CustomerId 和 SharedKey 值取代為您的值 取代範例數據$json變數中的內容。
將 LogType varible 設定為 Netclean_Incidents_CL 執行腳本
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。