Connettore Nc Protect per Microsoft Sentinel

  • Articolo

Nc Protect Data Connessione or (archtis.com) offre la possibilità di inserire i log attività e gli eventi degli utenti in Microsoft Sentinel. Il connettore offre visibilità su NC Protect user activity logs and events in Microsoft Sentinel per migliorare le funzionalità di monitoraggio e analisi

Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.

attributi Connessione or

Attributo Connessione or Descrizione
Tabelle di Log Analytics NCProtectUAL_CL
Supporto delle regole di raccolta dati Non è al momento supportato
Supportata da: archTIS

Esempi di query

Ottenere i record degli ultimi 7 giorni


NCProtectUAL_CL

| where TimeGenerated > ago(7d)

| order by TimeGenerated desc

Accesso non riuscito consecutivamente per più di 3 volte in un'ora dall'utente


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'LoginFailure'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s

| where  FailedRequestCount > 3

Download non riuscito consecutivamente per più di 3 volte in un'ora dall'utente


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'Open' and Status_s == 'Fail'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s, DocumentUrl_s

| where  FailedRequestCount > 3

Ottenere i log per la regola creata o modificata o eliminata record negli ultimi 7 giorni


NCProtectUAL_CL

| where TimeGenerated > ago(7d) and (Type_s == 'Create' or Type_s == 'Modify' or Type_s == 'Delete') and isnotempty(RuleName_s)

| order by TimeGenerated desc

Prerequisiti

Per eseguire l'integrazione con NC Protect, assicurarsi di disporre di:

  • Protezione NC: è necessario disporre di un'istanza in esecuzione di PROTEZIONE NC per O365. Contattaci.

Istruzioni di installazione fornitore

  1. Installare NC Protect in Azure Tenancy
  2. Accedere al sito di Amministrazione istration per proteggere il controller di rete
  3. Nel menu di spostamento a sinistra selezionare Generale -> Monitoraggio attività utente
  4. Selezionare la casella di controllo Abilita SIEM e fare clic sul pulsante Configura.
  5. Selezionare Microsoft Sentinel come applicazione e completare la configurazione usando le informazioni seguenti
  6. Fare clic su Salva per attivare la connessione

Passaggi successivi

Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.