Connecteur Netclean ProActive Incidents pour Microsoft Sentinel
Ce connecteur utilise le Webhook Netclean (obligatoire) et les Azure Logic Apps pour transmettre les données à Microsoft Sentinel Log Analytics
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | Netclean_Incidents_CL |
| Support des Règles de collecte de données | Non prise en charge pour le moment |
| Pris en charge par | NetClean |
Exemples de requête
Netclean – Toutes les activités.
Netclean_Incidents_CL
| sort by TimeGenerated desc
Instructions d’installation du fournisseur
Notes
Le connecteur de données s'appuie sur Azure Logic Apps pour recevoir et transmettre des données à Log Analytics. Cela peut entraîner des coûts d'ingestion de données supplémentaires. Il est possible de tester cela sans Logic Apps ou NetClean Proactive voir option 2
Option 1 : déployer l'application logique (nécessite NetClean Proactive)
- Téléchargez et installez l'application Logic ici : https://portal.azure.com/#create/netcleantechnologiesab1651557549734.netcleanlogicappnetcleanproactivelogicapp)
- Accédez à votre application logique nouvellement créée Dans votre concepteur d'application logique, cliquez sur + Nouvelle étape et recherchez « Collecteur de données Azure Log Analytics », cliquez dessus et sélectionnez « Envoyer des données »
Entrez le nom du journal personnalisé : Netclean_Incidents et une valeur fictive dans le corps de la requête Json, puis cliquez sur Enregistrer. Accédez à la vue du code dans le ruban supérieur et faites défiler jusqu'à la ligne ~ 100, elle doit commencer par "Corps"
remplacer entièrement la ligne par :
"body": "{\n"Hostname":"@{variables('machineName')}",\n"agentType":"@{triggerBody()['value']['agent']['type']}",\n"Identifier":"@{triggerBody()?['key']?['identifier']}",\n"type":"@{triggerBody()?['key']?['type']}",\n"version":"@{triggerBody()?['value']?['incidentVersion']}",\n"foundTime":"@{triggerBody()?['value']?['foundTime']}",\n"detectionMethod":"@{triggerBody()?['value']?['detectionHashType']}",\n"agentInformatonIdentifier":"@{triggerBody()?['value']?['device']?['identifier']}",\n"osVersion":"@{triggerBody()?['value']?['device']?['operatingSystemVersion']}",\n"machineName":"@{variables('machineName')}",\n"microsoftCultureId":"@{triggerBody()?['value']?['device']?['microsoftCultureId']}",\n"timeZoneId":"@{triggerBody()?['value']?['device']?['timeZoneName']}",\n"microsoftGeoId":"@{triggerBody()?['value']?['device']?['microsoftGeoId']}",\n"domainname":"@{variables('domain')}",\n"Agentversion":"@{triggerBody()['value']['agent']['version']}",\n"Agentidentifier":"@{triggerBody()['value']['identifier']}",\n"loggedOnUsers":"@{variables('Usernames')}",\n"size":"@{triggerBody()?['value']?['file']?['size']}",\n"creationTime":"@{triggerBody()?['value']?['file']?['creationTime']}",\n"lastAccessTime":"@{triggerBody()?['value']?['file']?['lastAccessTime']}",\n"lastWriteTime":"@{triggerBody()?['value']?['file']?['lastModifiedTime']}",\n"sha1":"@{triggerBody()?['value']?['file']?['calculatedHashes']?['sha1']}",\n"nearbyFiles_sha1":"@{variables('nearbyFiles_sha1s')}",\n"externalIP":"@{triggerBody()?['value']?['device']?['resolvedExternalIp']}",\n"domain":"@{variables('domain')}",\n"hasCollectedNearbyFiles":"@{variables('hasCollectedNearbyFiles')}",\n"filePath":"@{replace(triggerBody()['value']['file']['path'], '\', '\\')}",\n"m365WebUrl":"@{triggerBody()?['value']?['file']?['microsoft365']?['webUrl']}",\n"m365CreatedBymail":"@{triggerBody()?['value']?['file']?['createdBy']?['graphIdentity']?['user']?['mail']}",\n"m365LastModifiedByMail":"@{triggerBody()?['value']?['file']?['lastModifiedBy']?['graphIdentity']?['user']?['mail']}",\n"m365LibraryId":"@{triggerBody()?['value']?['file']?['microsoft365']?['library']?['id']}",\n"m365LibraryDisplayName":"@{triggerBody()?['value']?['file']?['microsoft365']?['library']?['displayName']}",\n"m365Librarytype":"@{triggerBody()?['value']?['file']?['microsoft365']?['library']?['type']}",\n"m365siteid":"@{triggerBody()?['value']?['file']?['microsoft365']?['site']?['id']}",\n"m365sitedisplayName":"@{triggerBody()?['value']?['file']?['microsoft365']?['site']?['displayName']}",\n"m365sitename":"@{triggerBody()?['value']?['file']?['microsoft365']?['parent']?['name']}",\n"countOfAllNearByFiles":"@{variables('countOfAllNearByFiles')}",\n\n}",
cliquez sur enregistrer
3. Copiez l'URL HTTP POST 4. Accédez à votre console Web NetClean ProActive et accédez aux paramètres. Sous Webhook, configurez un nouveau webhook à l'aide de l'URL copiée à l'étape 3. 5. Vérifiez la fonctionnalité en déclenchant un incident de démonstration.
Option 2 (Test uniquement)
Ingérer des données à l'aide d'une fonction API. veuillez utiliser le script trouvé sur Envoyer les données du journal à Azure Monitor à l'aide de l'API HTTP Data Collector
Remplacez les valeurs CustomerId et SharedKey par vos valeurs Remplacez le contenu de la variable $json par les exemples de données.
Définissez la variable Type de journal sur Netclean_Incidents_CL Exécutez le script
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.