Netclean ProActive Incidensek összekötő a Microsoft Sentinelhez
Ez az összekötő a Netclean Webhook (kötelező) és a Logic Apps használatával küld adatokat a Microsoft Sentinel Log Analyticsbe
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Csatlakozás or attribútumok
| Csatlakozás or attribútum | Leírás |
|---|---|
| Log Analytics-tábla(ok) | Netclean_Incidents_CL |
| Adatgyűjtési szabályok támogatása | Jelenleg nem támogatott |
| Támogatja: | NetClean |
Példák lekérdezésekre
Netclean - Minden tevékenység.
Netclean_Incidents_CL
| sort by TimeGenerated desc
Szállító telepítési útmutatója
Feljegyzés
Az adatösszekötő az Azure Logic Appsre támaszkodik az adatok Log Analyticsbe való fogadásához és leküldéséhez, ami további adatbetöltési költségeket eredményezhet. Ezt a Logic Apps vagy a NetClean Proaktív 2. lehetőség nélkül is tesztelheti
1. lehetőség: Logikai alkalmazás üzembe helyezése (a NetClean proaktív használatához)
- Töltse le és telepítse a logikai alkalmazást itt: https://portal.azure.com/#create/netcleantechnologiesab1651557549734.netcleanlogicappnetcleanproactivelogicapp)
- Nyissa meg az újonnan létrehozott logikai alkalmazást A logikai alkalmazás tervezőjében kattintson az +Új lépés elemre, és keressen rá az "Azure Log Analytics-adatgyűjtő" elemre, és válassza az "Adatok küldése" lehetőséget
Adja meg az egyéni napló nevét: Netclean_Incidents és egy hamis értéket a Json-kérelem törzsében, majd kattintson a Mentés a kód nézetre a felső menüszalagon, és görgessen le a ~100 sorig, amelynek a "Törzs" betűvel kell kezdődnie
cserélje le a sor entirly a következőre:
"body": "{\n"Hostname":"@{variables('machineName')}",\n"agentType":"@{triggerBody()?value']agent]type"}",\n"Identifier":"@{triggerBody()?? kulcs?? "identifier"}",\n"type":"@{triggerBody()?? kulcs?? [type]}",\n"version":"@{triggerBody()?? érték?? "incidentVersion"}",\n"foundTime":"@{triggerBody()?? érték?? "foundTime"}",\n"detectionMethod":"@{triggerBody()?? érték?? "detectionHashType"}",\n"agentInformatonIdentifier":"@{triggerBody()?? érték?? ...eszköz?? [identifier]}",\n"osVersion":"@{triggerBody()?? érték?? ...eszköz?? "operatingSystemVersion"}",\n"machineName":"@{variables('machineName')}",\n"microsoftCultureId":"@{triggerBody()?? érték?? ...eszköz?? [microsoftCultureId]}",\n"timeZoneId":"@{triggerBody()?? érték?? ...eszköz?? "timeZoneName"}",\n"microsoftGeoId":"@{triggerBody()?? érték?? ...eszköz?? ['.microsoftGeoId"}",\n"domainname":"@{variables('domain')}",\n"Agentversion":"@{triggerBody()]value']??version']}",\n"Agentidentifier":"@{triggerBody()[value]identifier"}",\n"loggedOnUsers":"@{variables('Usernames')}",\n"size":"@{triggerBody()?? érték?? [fájl]? [size]}",\n"creationTime":"@{triggerBody()?? érték?? [fájl]? [creationTime]}",\n"lastAccessTime":"@{triggerBody()?? érték?? [fájl]? [lastAccessTime]}",\n"lastWriteTime":"@{triggerBody()?? érték?? [fájl]? "lastModifiedTime"}",\n"sha1":"@{triggerBody()?? érték?? [fájl]? [számítottHashes]? "sha1",\n"nearbyFiles_sha1":"@{variables('nearbyFiles_sha1s')}",\n"externalIP":"@{triggerBody()?? érték?? ...eszköz?? "resolvedExternalIp"}",\n"domain":"@{variables('domain')}",\n"hasCollectedNearbyFiles":"@{variables('hasCollectedNearbyFiles')}",\n"filePath":"@{replace(triggerBody()]value'][file']]path'], '\', '\\')}",\n"m365WebUrl":"@{triggerBody()?? érték?? [fájl]? ...microsoft365"?? [webUrl]}",\n"m365CreatedBymail":"@{triggerBody()?? érték?? [fájl]? [createdBy]? ...graphIdentitás?? [felhasználó]? [mail]}",\n"m365LastModifiedByMail":"@{triggerBody()?? érték?? [fájl]? [lastModifiedBy]? ...graphIdentitás?? [felhasználó]? [mail]}",\n"m365LibraryId":"@{triggerBody()?? érték?? [fájl]? ...microsoft365"?? [könyvtár]? [id]}",\n"m365LibraryDisplayName":"@{triggerBody()?? érték?? [fájl]? ...microsoft365"?? [könyvtár]? "displayName"}",\n"m365Librarytype":"@{triggerBody()?? érték?? [fájl]? ...microsoft365"?? [könyvtár]? "type']}",\n"m365siteid":"@{triggerBody()?? érték?? [fájl]? ...microsoft365"?? [site]? [id]}",\n"m365sitedisplayName":"@{triggerBody()?? érték?? [fájl]? ...microsoft365"?? [site]? "displayName"}",\n"m365sitename":"@{triggerBody()?? érték?? [fájl]? ...microsoft365"?? ...szülő?? "name"}",\n"countOfAllNearByFiles":"@{variables('countOfAllNearByFiles')}",\n\n}",
kattintson a Mentés gombra
3. Másolja ki a HTTP POST URL-címét 4. Lépjen a NetClean ProActive webkonzoljára, és lépjen a beállításokhoz, a Webhook alatt konfiguráljon egy új webhookot a 3. lépés 5. lépéséből másolt URL-cím használatával. A funkció ellenőrzéséhez aktiváljon egy bemutató incidenst.
2. lehetőség (csak tesztelés)
Adatok betöltése API-függvény használatával. használja a Naplóadatok küldése az Azure Monitorba a HTTP Data Collector API használatával található szkriptet
Cserélje le a CustomerId és a SharedKey értékeket az értékekre: Cserélje le $json változó tartalmát a mintaadatokra.
A LogType varible beállítása a szkript futtatásának Netclean_Incidents_CL
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.