NC Protect-connector voor Microsoft Sentinel

  • Artikel

NC Protect Data Verbinding maken or (archtis.com) biedt de mogelijkheid om activiteitenlogboeken en gebeurtenissen van gebruikers op te nemen in Microsoft Sentinel. De connector biedt inzicht in activiteitenlogboeken en gebeurtenissen van NC Protect in Microsoft Sentinel om de mogelijkheden voor bewaking en onderzoek te verbeteren

Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.

Verbinding maken orkenmerken

Verbinding maken orkenmerk Beschrijving
Log Analytics-tabellen NCProtectUAL_CL
Ondersteuning voor regels voor gegevensverzameling Wordt momenteel niet ondersteund
Ondersteund door archTIS

Voorbeelden van query's

Records van de afgelopen 7 dagen ophalen


NCProtectUAL_CL

| where TimeGenerated > ago(7d)

| order by TimeGenerated desc

Aanmelden is per gebruiker meer dan drie keer per uur mislukt


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'LoginFailure'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s

| where  FailedRequestCount > 3

Downloaden is per gebruiker meer dan drie keer per uur mislukt


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'Open' and Status_s == 'Fail'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s, DocumentUrl_s

| where  FailedRequestCount > 3

Logboeken ophalen voor door de regel gemaakte of gewijzigde of verwijderde records in de afgelopen 7 dagen


NCProtectUAL_CL

| where TimeGenerated > ago(7d) and (Type_s == 'Create' or Type_s == 'Modify' or Type_s == 'Delete') and isnotempty(RuleName_s)

| order by TimeGenerated desc

Vereisten

Zorg ervoor dat u over het volgende beschikt om te integreren met NC Protect:

  • NC Protect: U moet een actief exemplaar van NC Protect voor O365 hebben. Neem contact met ons op.

Installatie-instructies van leverancier

  1. NC Protect installeren in uw Azure Tenancy
  2. Meld u aan bij de NC Protect Beheer istration-site
  3. Selecteer In het navigatiemenu aan de linkerkant De optie Algemeen -> Bewaking van gebruikersactiviteit
  4. Schakel het selectievakje in om SIEM in te schakelen en klik op de knop Configureren
  5. Selecteer Microsoft Sentinel als de toepassing en voltooi de configuratie met behulp van de onderstaande informatie
  6. Klik op Opslaan om de verbinding te activeren

Volgende stappen

Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.