Konektor NC Protect untuk Microsoft Azure Sentinel

  • Artikel

NC Protect Data Koneksi or (archtis.com) menyediakan kemampuan untuk menyerap log aktivitas pengguna dan peristiwa ke Microsoft Azure Sentinel. Konektor memberikan visibilitas ke dalam NC Lindungi log aktivitas pengguna dan peristiwa di Microsoft Azure Sentinel untuk meningkatkan kemampuan pemantauan dan investigasi

Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.

atribut Koneksi or

Atribut konektor Deskripsi
Tabel Log Analytics NCProtectUAL_CL
Dukungan aturan pengumpulan data Saat ini tidak didukung
Didukung oleh archTIS

Kueri sampel

Mendapatkan rekaman 7 hari terakhir


NCProtectUAL_CL

| where TimeGenerated > ago(7d)

| order by TimeGenerated desc

Login gagal berturut-turut selama lebih dari 3 kali dalam satu jam oleh pengguna


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'LoginFailure'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s

| where  FailedRequestCount > 3

Pengunduhan gagal berturut-turut selama lebih dari 3 kali dalam satu jam oleh pengguna


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'Open' and Status_s == 'Fail'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s, DocumentUrl_s

| where  FailedRequestCount > 3

Mendapatkan log untuk aturan yang dibuat atau dimodifikasi atau dihapus dalam 7 hari terakhir


NCProtectUAL_CL

| where TimeGenerated > ago(7d) and (Type_s == 'Create' or Type_s == 'Modify' or Type_s == 'Delete') and isnotempty(RuleName_s)

| order by TimeGenerated desc

Prasyarat

Untuk berintegrasi dengan NC Protect, pastikan Anda memiliki:

  • NC Protect: Anda harus memiliki instans NC Protect yang sedang berjalan untuk O365. Silakan hubungi kami.

Instruksi penginstalan vendor

  1. Menginstal NC Protect ke Azure Tenancy Anda
  2. Masuk ke situs Administrasi NC Protect
  3. Dari menu navigasi sebelah kiri, pilih Umum -> Pemantauan Aktivitas Pengguna
  4. Centang kotak centang untuk Mengaktifkan SIEM dan klik tombol Konfigurasi
  5. Pilih Microsoft Azure Sentinel sebagai Aplikasi dan lengkapi konfigurasi menggunakan informasi di bawah ini
  6. Klik Simpan untuk mengaktifkan koneksi

Langkah berikutnya

Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.