Соединитель Netclean ProActive Incidents для Microsoft Sentinel
Этот соединитель использует веб-перехватчик Netclean (обязательный) и Logic Apps для отправки данных в Microsoft Sentinel Log Analytics
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | Netclean_Incidents_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | NetClean |
Примеры запросов
Netclean — все действия.
Netclean_Incidents_CL
| sort by TimeGenerated desc
Инструкции по установке поставщика
Примечание.
Соединитель данных использует Azure Logic Apps для получения и отправки данных в Log Analytics, что может привести к дополнительным затратам на прием данных. Это можно проверить без logic Apps или NetClean Proactive see option 2
Вариант 1. Развертывание приложения логики (требуется упреждающее приложение NetClean)
- Скачайте и установите приложение логики здесь: https://portal.azure.com/#create/netcleantechnologiesab1651557549734.netcleanlogicappnetcleanproactivelogicapp)
- Перейдите к созданному приложению логики в конструкторе приложений логики, нажмите кнопку +Создать шаг и найдите "Сборщик данных Azure Log Analytics" и выберите "Отправить данные".
Введите пользовательское имя журнала: Netclean_Incidents и фиктивное значение в тексте запроса Json и нажмите кнопку "Перейти к представлению кода" на верхней ленте и прокрутите вниз до строки ~100, чтобы начать с "Текст"
замените строку на следующую:
"body": "{\n"Hostname":"@{переменные('machineName')}",\n"agentType":"@{triggerBody()['value']['agent']['type'}",\n"Идентификатор":"@{triggerBody()?[' key']? ['identifier']}",\n"type":"@{triggerBody()?[' key']? ['type']}",\n"version":"@{triggerBody()?[' value']? ['incidentVersion']}",\n"foundTime":"@{triggerBody()?[ value']? ['foundTime']}",\n"detectionMethod":"@{triggerBody()?[ value']? ['detectionHashType']}",\n"agentInformatonIdentifier":"@{triggerBody()?[ value']? ['device']? ['identifier']}",\n"osVersion":"@{triggerBody()?[' value']? ['device']? ['operatingSystemVersion']}",\n"machineName":"@{переменные('machineName')}",\n"microsoftCultureId":"@{triggerBody()?[' value']? ['device']? ['microsoftCultureId']}",\n"timeZoneId":"@{triggerBody()?[' value']? ['device']? ['timeZoneName']}",\n"microsoftGeoId":"@{triggerBody()?[' value']? ['device']? ['microsoftGeoId']}",\n"domainname":"@{variables('domain')}",\n"Agentversion":"@{triggerBody()['value']['agent']['version']}",\n"Agentidentifier":"@{triggerBody()['value']['identifier'}",\n"loggedOnUsers":"@{variables('Usernames')}",\n"size":"@{triggerBody()?' value']? ['file']? ['size']}",\n"creationTime":"@{triggerBody()?[' value']? ['file']? ['creationTime']}",\n"lastAccessTime":"@{triggerBody()?[ value']? ['file']? ['lastAccessTime']}",\n"lastWriteTime":"@{triggerBody()?[' value']? ['file']? ['lastModifiedTime']}",\n"sha1":"@{triggerBody()?[' value']? ['file']? ['calculatedHashes']? ['sha1']}",\n"nearbyFiles_sha1":"@{переменные('nearbyFiles_sha1s')}",\n"externalIP":"@{triggerBody()?[' value']? ['device']? ['resolvedExternalIp']}",\n"domain":"@{variables('domain')}",\n"hasCollectedNearbyFiles":"@{переменные('hasCollectedNearbyFiles')}",\n"filePath":"@{replace(triggerBody()['value']['file']['path'], '\', '\\')}",\n"m365WebUrl":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['webUrl']}",\n"m365CreatedBymail":"@{triggerBody()?[' value']? ['file']? ['createdBy']? ['graphIdentity']? ['user']? ['mail']}",\n"m365LastModifiedByMail":"@{triggerBody()?[' value']? ['file']? ['lastModifiedBy']? ['graphIdentity']? ['user']? ['mail']}",\n"m365LibraryId":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['library']? ['id']}",\n"m365LibraryDisplayName":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['library']? ['displayName']}",\n"m365Librarytype":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['library']? ['type']}",\n"m365siteid":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['site']? ['id']}",\n"m365sitedisplayName":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['site']? ['displayName']}",\n"m365sitename":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['parent']? ['name']}",\n"countOfAllNearByFiles":"@{variables('countOfAllNearByFiles')}",\n\n}",
Нажмите кнопку "Сохранить"
3. Скопируйте URL-адрес HTTP POST 4. Перейдите в веб-консоль NetClean ProActive и перейдите к параметрам, в разделе "Веб-перехватчик" настройте новый веб-перехватчик с помощью URL-адреса, скопированного на шаге 3 5. Проверьте функциональные возможности, активировав демонстрационный инцидент.
Вариант 2 (только тестирование)
Прием данных с помощью функции API. Используйте скрипт, найденный при отправке данных журнала в Azure Monitor с помощью API сборщика данных HTTP
Замените значения CustomerId и SharedKey значениями, которые заменяют содержимое в переменной $json образцом данных.
Задайте для logType varible значение Netclean_Incidents_CL Запустить скрипт
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.