Microsoft Sentinel용 NC Protect 커넥터
NC Protect 데이터 커넥터(archtis.com)는 사용자 활동 로그 및 이벤트를 Microsoft Sentinel로 수집하는 기능을 제공합니다. 커넥터는 Microsoft Sentinel의 NC Protect 사용자 활동 로그 및 이벤트에 대한 가시성을 제공하여 모니터링 및 조사 기능을 개선합니다.
자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.
커넥터 특성
| 커넥터 특성 | 설명 |
|---|---|
| Log Analytics 테이블 | NCProtectUAL_CL |
| 데이터 수집 규칙 지원 | 현재 지원되지 않음 |
| 다음에서 지원 | archTIS |
쿼리 샘플
최근 7일 간의 레코드 표시
NCProtectUAL_CL
| where TimeGenerated > ago(7d)
| order by TimeGenerated desc
사용자가 1시간 동안 3회 이상 연속으로 로그인에 실패함
NCProtectUAL_CL
| where TimeGenerated > ago(1h) and Type_s == 'LoginFailure'
| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s
| where FailedRequestCount > 3
사용자가 한 시간 동안 3회 이상 연속 다운로드하지 못 함
NCProtectUAL_CL
| where TimeGenerated > ago(1h) and Type_s == 'Open' and Status_s == 'Fail'
| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s, DocumentUrl_s
| where FailedRequestCount > 3
지난 7일 동안 규칙이 만들어 지거나 수정되거나 삭제된 레코드에 대한 로그를 가져옴
NCProtectUAL_CL
| where TimeGenerated > ago(7d) and (Type_s == 'Create' or Type_s == 'Modify' or Type_s == 'Delete') and isnotempty(RuleName_s)
| order by TimeGenerated desc
필수 조건
NC Protect와 통합하려면 다음이 있는지 확인합니다.
- NC Protect: O365용 NC Protect의 실행 중인 인스턴스가 있어야 합니다. 문의해 주세요.
공급업체 설치 지침
- Azure Tenancy에 NC Protect 설치
- NC Protect 관리 사이트에 로그인
- 왼쪽 탐색 메뉴에서 일반 -> 사용자 활동 모니터링 선택
- SIEM 사용 확인란을 선택하고 구성 단추 클릭
- 애플리케이션으로 Microsoft Sentinel을 선택하고 아래 정보를 사용하여 구성 완료
- 저장을 클릭하여 연결 활성화
다음 단계
자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.