Microsoft Sentinel용 Netclean ProActive 인시던트 커넥터
이 커넥터는 Netclean 웹후크(필수) 및 Logic Apps를 사용하여 Microsoft Sentinel Log Analytics에 데이터를 푸시합니다.
자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.
커넥터 특성
커넥터 특성 | 설명 |
---|---|
Log Analytics 테이블 | Netclean_Incidents_CL |
데이터 수집 규칙 지원 | 현재 지원되지 않음 |
다음에서 지원 | NetClean |
쿼리 샘플
Netclean - 모든 활동.
Netclean_Incidents_CL
| sort by TimeGenerated desc
공급업체 설치 지침
참고 항목
데이터 커넥터는 Azure Logic Apps를 사용하여 Log Analytics에 데이터를 수신하고 푸시합니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. Logic Apps 또는 NetClean Proactive 없이 테스트할 수 있습니다(옵션 2 참조).
옵션 1: 논리 앱 배포(NetClean Proactive 필요)
- https://portal.azure.com/#create/netcleantechnologiesab1651557549734.netcleanlogicappnetcleanproactivelogicapp에서 논리 앱을 다운로드하고 설치합니다.
- 논리 앱 디자이너에서 새로 만든 논리 앱으로 이동하여 +새 단계를 클릭하고 “Azure Log Analytics 데이터 수집기”를 검색하여 클릭한 후 “데이터 보내기”를 선택합니다.
사용자 지정 로그 이름을 입력합니다. Netclean_Incidents 및 더미 값을 Json 요청 본문에 입력하고 저장을 클릭합니다. 맨 위 리본의 코드 보기로 이동하여 ~100줄까지 아래로 스크롤하면 "본문"으로 시작해야 합니다.
줄을 다음과 같이 바꿉니다.
"body": "{\n"Hostname":"@{variables('machineName')}",\n"agentType":"@{triggerBody()['value']['agent']['type']}",\n"Identifier":"@{triggerBody()?['key']?['identifier']}",\n"type":"@{triggerBody()?['key']?['type']}",\n"version":"@{triggerBody()?['value']?['incidentVersion']}",\n"foundTime":"@{triggerBody()?['value']?['foundTime']}",\n"detectionMethod":"@{triggerBody()?['value']?['detectionHashType']}",\n"agentInformatonIdentifier":"@{triggerBody()?['value']?['device']?['identifier']}",\n"osVersion":"@{triggerBody()?['value']?['device']?['operatingSystemVersion']}",\n"machineName":"@{variables('machineName')}",\n"microsoftCultureId":"@{triggerBody()?['value']?['device']?['microsoftCultureId']}",\n"timeZoneId":"@{triggerBody()?['value']?['device']?['timeZoneName']}",\n"microsoftGeoId":"@{triggerBody()?['value']?['device']?['microsoftGeoId']}",\n"domainname":"@{variables('domain')}",\n"Agentversion":"@{triggerBody()['value']['agent']['version']}",\n"Agentidentifier":"@{triggerBody()['value']['identifier']}",\n"loggedOnUsers":"@{variables('Usernames')}",\n"size":"@{triggerBody()?['value']?['file']?['size']}",\n"creationTime":"@{triggerBody()?['value']?['file']?['creationTime']}",\n"lastAccessTime":"@{triggerBody()?['value']?['file']?['lastAccessTime']}",\n"lastWriteTime":"@{triggerBody()?['value']?['file']?['lastModifiedTime']}",\n"sha1":"@{triggerBody()?['value']?['file']?['calculatedHashes']?['sha1']}",\n"nearbyFiles_sha1":"@{variables('nearbyFiles_sha1s')}",\n"externalIP":"@{triggerBody()?['value']?['device']?['resolvedExternalIp']}",\n"domain":"@{variables('domain')}",\n"hasCollectedNearbyFiles":"@{variables('hasCollectedNearbyFiles')}",\n"filePath":"@{replace(triggerBody()['value']['file']['path'], '\', '\\')}",\n"m365WebUrl":"@{triggerBody()?['value']?['file']?['microsoft365']?['webUrl']}",\n"m365CreatedBymail":"@{triggerBody()?['value']?['file']?['createdBy']?['graphIdentity']?['user']?['mail']}",\n"m365LastModifiedByMail":"@{triggerBody()?['value']?['file']?['lastModifiedBy']?['graphIdentity']?['user']?['mail']}",\n"m365LibraryId":"@{triggerBody()?['value']?['file']?['microsoft365']?['library']?['id']}",\n"m365LibraryDisplayName":"@{triggerBody()?['value']?['file']?['microsoft365']?['library']?['displayName']}",\n"m365Librarytype":"@{triggerBody()?['value']?['file']?['microsoft365']?['library']?['type']}",\n"m365siteid":"@{triggerBody()?['value']?['file']?['microsoft365']?['site']?['id']}",\n"m365sitedisplayName":"@{triggerBody()?['value']?['file']?['microsoft365']?['site']?['displayName']}",\n"m365sitename":"@{triggerBody()?['value']?['file']?['microsoft365']?['parent']?['name']}",\n"countOfAllNearByFiles":"@{variables('countOfAllNearByFiles')}",\n\n}",
저장을 클릭합니다.
3. HTTP POST URL 4를 복사합니다. NetClean ProActive 웹 콘솔로 이동하여 설정으로 이동합니다. 웹후크에서 3단계 5에서 복사한 URL을 사용하여 새 웹후크를 구성합니다. 데모 인시던트를 트리거하여 기능을 확인합니다.
옵션 2(테스트 전용)
api 함수를 사용하여 데이터를 수집합니다. HTTP 데이터 수집기 API를 사용하여 Azure Monitor에 로그 데이터 보내기에 있는 스크립트를 사용하세요.
CustomerId 및 SharedKey 값을 사용자 값으로 바꾸고 $json 변수의 콘텐츠를 샘플 데이터로 바꿉니다.
LogType 변수를 Netclean_Incidents_CL로 설정하고 스크립트를 실행합니다.
다음 단계
자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.