Connecteur Netclean ProActive Incidents pour Microsoft Sentinel
Ce connecteur utilise le Webhook Netclean (obligatoire) et les Azure Logic Apps pour transmettre les données à Microsoft Sentinel Log Analytics
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
Attribut du connecteur | Description |
---|---|
Table(s) Log Analytics | Netclean_Incidents_CL |
Support des Règles de collecte de données | Non prise en charge pour le moment |
Pris en charge par | NetClean |
Exemples de requête
Netclean – Toutes les activités.
Netclean_Incidents_CL
| sort by TimeGenerated desc
Instructions d’installation du fournisseur
Notes
Le connecteur de données s'appuie sur Azure Logic Apps pour recevoir et transmettre des données à Log Analytics. Cela peut entraîner des coûts d'ingestion de données supplémentaires. Il est possible de tester cela sans Logic Apps ou NetClean Proactive voir option 2
Option 1 : déployer l'application logique (nécessite NetClean Proactive)
- Téléchargez et installez l'application Logic ici : https://portal.azure.com/#create/netcleantechnologiesab1651557549734.netcleanlogicappnetcleanproactivelogicapp)
- Accédez à votre application logique nouvellement créée Dans votre concepteur d'application logique, cliquez sur + Nouvelle étape et recherchez « Collecteur de données Azure Log Analytics », cliquez dessus et sélectionnez « Envoyer des données »
Entrez le nom du journal personnalisé : Netclean_Incidents et une valeur fictive dans le corps de la requête Json, puis cliquez sur Enregistrer. Accédez à la vue du code dans le ruban supérieur et faites défiler jusqu'à la ligne ~ 100, elle doit commencer par "Corps"
remplacer entièrement la ligne par :
"body": "{\n"Hostname":"@{variables('machineName')}",\n"agentType":"@{triggerBody()['value']['agent']['type']}",\n"Identifier":"@{triggerBody()?['key']?['identifier']}",\n"type":"@{triggerBody()?['key']?['type']}",\n"version":"@{triggerBody()?['value']?['incidentVersion']}",\n"foundTime":"@{triggerBody()?['value']?['foundTime']}",\n"detectionMethod":"@{triggerBody()?['value']?['detectionHashType']}",\n"agentInformatonIdentifier":"@{triggerBody()?['value']?['device']?['identifier']}",\n"osVersion":"@{triggerBody()?['value']?['device']?['operatingSystemVersion']}",\n"machineName":"@{variables('machineName')}",\n"microsoftCultureId":"@{triggerBody()?['value']?['device']?['microsoftCultureId']}",\n"timeZoneId":"@{triggerBody()?['value']?['device']?['timeZoneName']}",\n"microsoftGeoId":"@{triggerBody()?['value']?['device']?['microsoftGeoId']}",\n"domainname":"@{variables('domain')}",\n"Agentversion":"@{triggerBody()['value']['agent']['version']}",\n"Agentidentifier":"@{triggerBody()['value']['identifier']}",\n"loggedOnUsers":"@{variables('Usernames')}",\n"size":"@{triggerBody()?['value']?['file']?['size']}",\n"creationTime":"@{triggerBody()?['value']?['file']?['creationTime']}",\n"lastAccessTime":"@{triggerBody()?['value']?['file']?['lastAccessTime']}",\n"lastWriteTime":"@{triggerBody()?['value']?['file']?['lastModifiedTime']}",\n"sha1":"@{triggerBody()?['value']?['file']?['calculatedHashes']?['sha1']}",\n"nearbyFiles_sha1":"@{variables('nearbyFiles_sha1s')}",\n"externalIP":"@{triggerBody()?['value']?['device']?['resolvedExternalIp']}",\n"domain":"@{variables('domain')}",\n"hasCollectedNearbyFiles":"@{variables('hasCollectedNearbyFiles')}",\n"filePath":"@{replace(triggerBody()['value']['file']['path'], '\', '\\')}",\n"m365WebUrl":"@{triggerBody()?['value']?['file']?['microsoft365']?['webUrl']}",\n"m365CreatedBymail":"@{triggerBody()?['value']?['file']?['createdBy']?['graphIdentity']?['user']?['mail']}",\n"m365LastModifiedByMail":"@{triggerBody()?['value']?['file']?['lastModifiedBy']?['graphIdentity']?['user']?['mail']}",\n"m365LibraryId":"@{triggerBody()?['value']?['file']?['microsoft365']?['library']?['id']}",\n"m365LibraryDisplayName":"@{triggerBody()?['value']?['file']?['microsoft365']?['library']?['displayName']}",\n"m365Librarytype":"@{triggerBody()?['value']?['file']?['microsoft365']?['library']?['type']}",\n"m365siteid":"@{triggerBody()?['value']?['file']?['microsoft365']?['site']?['id']}",\n"m365sitedisplayName":"@{triggerBody()?['value']?['file']?['microsoft365']?['site']?['displayName']}",\n"m365sitename":"@{triggerBody()?['value']?['file']?['microsoft365']?['parent']?['name']}",\n"countOfAllNearByFiles":"@{variables('countOfAllNearByFiles')}",\n\n}",
cliquez sur enregistrer
3. Copiez l'URL HTTP POST 4. Accédez à votre console Web NetClean ProActive et accédez aux paramètres. Sous Webhook, configurez un nouveau webhook à l'aide de l'URL copiée à l'étape 3. 5. Vérifiez la fonctionnalité en déclenchant un incident de démonstration.
Option 2 (Test uniquement)
Ingérer des données à l'aide d'une fonction API. veuillez utiliser le script trouvé sur Envoyer les données du journal à Azure Monitor à l'aide de l'API HTTP Data Collector
Remplacez les valeurs CustomerId et SharedKey par vos valeurs Remplacez le contenu de la variable $json par les exemples de données.
Définissez la variable Type de journal sur Netclean_Incidents_CL Exécutez le script
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour