Konektor NC Protect pro Microsoft Sentinel

  • Článek

NC Protect Data Připojení or (archtis.com) poskytuje možnost ingestovat protokoly a události aktivit uživatelů do Služby Microsoft Sentinel. Konektor poskytuje přehled o protokolech a událostech aktivit uživatele NC Protect v Microsoft Sentinelu za účelem zlepšení možností monitorování a vyšetřování.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

atributy Připojení oru

atribut Připojení or Popis
Tabulky Log Analytics NCProtectUAL_CL
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno archTIS

Ukázky dotazů

Získání záznamů za posledních 7 dnů


NCProtectUAL_CL

| where TimeGenerated > ago(7d)

| order by TimeGenerated desc

Přihlášení se po sobě po sobě nezdařilo více než 3krát za hodinu uživatelem


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'LoginFailure'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s

| where  FailedRequestCount > 3

Stažení se po sobě nezdařilo více než 3krát za hodinu uživatelem.


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'Open' and Status_s == 'Fail'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s, DocumentUrl_s

| where  FailedRequestCount > 3

Získání protokolů pro vytvořené nebo upravené nebo odstraněné záznamy za posledních 7 dnů


NCProtectUAL_CL

| where TimeGenerated > ago(7d) and (Type_s == 'Create' or Type_s == 'Modify' or Type_s == 'Delete') and isnotempty(RuleName_s)

| order by TimeGenerated desc

Požadavky

Pokud chcete provést integraci s ochranou NC Protect, ujistěte se, že máte:

  • Ochrana síťového adaptéru: Musíte mít spuštěnou instanci nc Protect pro O365. Kontaktujte nás.

Pokyny k instalaci dodavatele

  1. Instalace NC Protect do tenantů Azure
  2. Přihlaste se k lokalitě Správa istrace nc Protect
  3. V levé navigační nabídce vyberte Obecné –> Monitorování aktivit uživatelů.
  4. Zaškrtněte políčko Povolit SIEM a klikněte na tlačítko Konfigurovat.
  5. Jako aplikaci vyberte Microsoft Sentinel a dokončete konfiguraci s využitím následujících informací.
  6. Kliknutím na Uložit aktivujete připojení.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.