Connettore Netclean ProActive Incidents per Microsoft Sentinel
Questo connettore usa netclean Webhook (obbligatorio) e App per la logica per eseguire il push dei dati in Microsoft Sentinel Log Analytics
Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.
attributi Connessione or
Attributo Connessione or | Descrizione |
---|---|
Tabelle di Log Analytics | Netclean_Incidents_CL |
Supporto delle regole di raccolta dati | Non è al momento supportato |
Supportata da: | NetClean |
Esempi di query
Netclean - Tutte le attività.
Netclean_Incidents_CL
| sort by TimeGenerated desc
Istruzioni di installazione fornitore
Nota
Il connettore dati si basa su App per la logica di Azure per ricevere ed eseguire il push dei dati in Log Analytics. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dei dati. È possibile testarlo senza App per la logica o NetClean Proactive see opzione 2
Opzione 1: distribuire l'app per la logica (richiede NetClean Proattivo)
- Scaricare e installare l'app per la logica qui: https://portal.azure.com/#create/netcleantechnologiesab1651557549734.netcleanlogicappnetcleanproactivelogicapp)
- Passare all'app per la logica appena creata nella finestra di progettazione dell'app per la logica, fare clic su +Nuovo passaggio e cercare "Agente di raccolta dati di Azure Log Analytics" e selezionare "Invia dati"
Immettere il nome del log personalizzato: Netclean_Incidents e un valore fittizio nel corpo della richiesta Json e fare clic su Salva Vai alla visualizzazione codice sulla barra multifunzione superiore e scorrere verso il basso fino a ~100, deve iniziare con "Corpo"
sostituire la riga in modo accattivante con:
"body": "{\n"Hostname":"@{variables('machineName')}",\n"agentType":"@{triggerBody()['value']['agent']['type']}",\n"Identifier":"@{triggerBody()?[' key']? ['identifier']}",\n"type":"@{triggerBody()?[' key']? ['type']}",\n"version":"@{triggerBody()?[' value']? ['incidentVersion']}",\n"foundTime":"@{triggerBody()?[' value']? ['foundTime']}",\n"detectionMethod":"@{triggerBody()?[' value']? ['detectionHashType']}",\n"agentInformatonIdentifier":"@{triggerBody()?[' value']? ['device']? ['identifier']}",\n"osVersion":"@{triggerBody()?[' value']? ['device']? ['operatingSystemVersion']}",\n"machineName":"@{variables('machineName')}",\n"microsoftCultureId":"@{triggerBody()?[' value']? ['device']? ['microsoftCultureId']}",\n"timeZoneId":"@{triggerBody()?[' value']? ['device']? ['timeZoneName']}",\n"microsoftGeoId":"@{triggerBody()?[' value']? ['device']? ['microsoftGeoId']}",\n"domainname":"@{variables('domain')}",\n"Agentversion":"@{triggerBody()['value']['agent']['version']}",\n"Agentidentifier":"@{triggerBody()['value']['identifier']}",\n"loggedOnUsers":"@{variables('Usernames')}",\n"size":"@{triggerBody()?[' value']? ['file']? ['size']}",\n"creationTime":"@{triggerBody()?[' value']? ['file']? ['creationTime']}",\n"lastAccessTime":"@{triggerBody()?[' value']? ['file']? ['lastAccessTime']}",\n"lastWriteTime":"@{triggerBody()?[' value']? ['file']? ['lastModifiedTime']}",\n"sha1":"@{triggerBody()?[' value']? ['file']? ['calculatedHashes']? ['sha1']}",\n"nearbyFiles_sha1":"@{variables('nearbyFiles_sha1s')}",\n"externalIP":"@{triggerBody()?[' value']? ['device']? ['resolvedExternalIp']}",\n"domain":"@{variables('domain')}",\n"hasCollectedNearbyFiles":"@{variables('hasCollectedNearbyFiles')}",\n"filePath":"@{replace(triggerBody()['value'['file']['path'], '\', '\')}",\n"m365WebUrl":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['webUrl']}",\n"m365CreatedBymail":"@{triggerBody()?[' value']? ['file']? ['createdBy']? ['graphIdentity']? ['utente']? ['mail']}",\n"m365LastModifiedByMail":"@{triggerBody()?[' value']? ['file']? ['lastModifiedBy']? ['graphIdentity']? ['utente']? ['mail']}",\n"m365LibraryId":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['library']? ['id']}",\n"m365LibraryDisplayName":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['library']? ['displayName']}",\n"m365Librarytype":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['library']? ['type']}",\n"m365siteid":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['site']? ['id']}",\n"m365sitedisplayName":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['site']? ['displayName']}",\n"m365sitename":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['parent']? ['name']}",\n"countOfAllNearByFiles":"@{variables('countOfAllNearByFiles')}",\n\n}",
Fare clic su Salva
3. Copiare l'URL HTTP POST 4. Passare alla console Web NetClean ProActive e passare alle impostazioni, In Webhook configurare un nuovo webhook usando l'URL copiato dal passaggio 3 5. Verificare la funzionalità attivando un evento imprevisto demo.
Opzione 2 (solo test)
Inserire dati usando una funzione API. Usare lo script trovato in Inviare dati di log a Monitoraggio di Azure usando l'API dell'agente di raccolta dati HTTP
Sostituire i valori CustomerId e SharedKey con i valori Sostituisci il contenuto in $json variabile ai dati di esempio.
Impostare la variabile LogType su Netclean_Incidents_CL Eseguire lo script
Passaggi successivi
Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.