Соединитель BETTER Mobile Threat Defense (MTD) для Microsoft Sentinel

  • Статья

Соединитель BETTER MTD позволяет предприятиям подключать свои экземпляры MTD к Microsoft Sentinel, просматривать их данные на панелях мониторинга, создавать пользовательские оповещения, использовать его для активации сборников схем и расширения возможностей поиска угроз. Это дает пользователям больше сведений о мобильных устройствах своей организации и возможности быстрого анализа текущей системы безопасности мобильных устройств, что улучшает их общие возможности SecOps.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Таблицы Log Analytics BetterMTDIncidentLog_CL
BetterMTDDeviceLog_CL
BetterMTDAppLog_CL
BetterMTDNetflowLog_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Better Mobile Security Inc.

Примеры запросов

Все угрозы за последние 24 часа

BetterMTDIncidentLog_CL
         
| where TimeGenerated > ago(24h)
         
| sort by TimeGenerated
         
| limit 100

Зарегистрированные устройства за последние 24 часа

BetterMTDDeviceLog_CL
         
| where TimeGenerated > ago(24h)
         
| sort by TimeGenerated
         
| limit 100

Установленные приложения за последние 24 часа

BetterMTDAppLog_CL
         
| where TimeGenerated > ago(24h)  and  AppStatus_s  == "installed" 
         
| sort by TimeGenerated            

| limit 100

Заблокированные сетевые трафики за последние 24 часа

BetterMTDNetflowLog_CL
         
| where TimeGenerated > ago(24h)  and  Status_s == "blocked"
         
| sort by TimeGenerated
         
| limit 100

Инструкции по установке поставщика

  1. В консоли MTD щелкните интеграцию на боковой панели.
  2. Выберите вкладку "Другие ".
  3. Нажмите кнопку "ДОБАВИТЬ УЧЕТНУЮ ЗАПИСЬ" и выберите Microsoft Sentinel из доступных интеграции.
  4. Создайте интеграцию:
  • задайте ACCOUNT NAME описательное имя, определяющее интеграцию, а затем нажмите кнопку "Далее"
  • Введите и WORKSPACE ID PRIMARY KEY из полей, приведенных ниже, нажмите кнопку "Сохранить"
  • Щелкните Готово
  1. Настройка политики угроз (о каких инцидентах следует сообщать Microsoft Sentinel):
  • В консоли BETTER MTD щелкните политики на боковой панели
  • Нажмите кнопку "Изменить " используемой политики.
  • Для каждого типа инцидентов, которые требуется регистрироваться, перейдите в поле "Отправить в интеграцию" и выберите Sentinel

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.