Connecteur NC Protect pour Microsoft Sentinel

  • Article

Le connecteur de données NC Protect (archtis.com) offre la capacité d’ingérer les événements et journaux d’activité des utilisateurs dans Microsoft Sentinel. Le connecteur offre une visibilité sur les événements et journaux d’activité des utilisateurs NC Protect dans Microsoft Sentinel afin d’améliorer les fonctionnalités de surveillance et d’investigation.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics NCProtectUAL_CL
Prise en charge des règles de collecte de données Non prise en charge pour le moment
Pris en charge par archTIS

Exemples de requête

Obtenir les enregistrements des 7 derniers jours


NCProtectUAL_CL

| where TimeGenerated > ago(7d)

| order by TimeGenerated desc

Échec de connexion plus de 3 fois de suite en une heure par utilisateur


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'LoginFailure'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s

| where  FailedRequestCount > 3

Échec de téléchargement plus de 3 fois de suite en une heure par utilisateur


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'Open' and Status_s == 'Fail'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s, DocumentUrl_s

| where  FailedRequestCount > 3

Obtenir les journaux des enregistrements de règle créés, modifiés ou supprimés au cours des 7 derniers jours


NCProtectUAL_CL

| where TimeGenerated > ago(7d) and (Type_s == 'Create' or Type_s == 'Modify' or Type_s == 'Delete') and isnotempty(RuleName_s)

| order by TimeGenerated desc

Prérequis

Pour intégrer NC Protect, veillez à avoir :

  • NC Protect : Vous devez disposer d’une instance en cours d’exécution de NC Protect pour O365. Contactez-nous.

Instructions d’installation du fournisseur

  1. Installer NC Protect dans votre location Azure
  2. Connectez-vous au site NC Protect Administration
  3. Dans le menu de navigation de gauche, sélectionnez Général -> User Activity Monitoring
  4. Cochez la case Enable SIEM et cliquez sur le bouton Configure
  5. Sélectionnez Microsoft Sentinel comme application et terminez la configuration à l’aide des informations ci-dessous
  6. Cliquez sur Save pour activer la connexion

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.