Udostępnij za pośrednictwem

Łącznik NC Protect dla usługi Microsoft Sentinel

  • Artykuł

Nc Protect Data Połączenie or (archtis.com) zapewnia możliwość pozyskiwania dzienników aktywności użytkownika i zdarzeń do usługi Microsoft Sentinel. Łącznik zapewnia wgląd w dzienniki aktywności i zdarzenia użytkownika w usłudze Microsoft Sentinel w celu zwiększenia możliwości monitorowania i badania

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

atrybuty Połączenie or

atrybut Połączenie or opis
Tabele usługi Log Analytics NCProtectUAL_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez archTIS

Przykłady zapytań

Pobieranie rekordów z ostatnich 7 dni


NCProtectUAL_CL

| where TimeGenerated > ago(7d)

| order by TimeGenerated desc

Logowanie nie powiodło się po kolei przez więcej niż 3 razy w ciągu godziny przez użytkownika


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'LoginFailure'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s

| where  FailedRequestCount > 3

Pobieranie nie powiodło się po raz kolejny przez użytkownika przez ponad 3 razy w ciągu godziny


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'Open' and Status_s == 'Fail'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s, DocumentUrl_s

| where  FailedRequestCount > 3

Pobieranie dzienników dla rekordów utworzonych lub zmodyfikowanych lub usuniętych w ciągu ostatnich 7 dni


NCProtectUAL_CL

| where TimeGenerated > ago(7d) and (Type_s == 'Create' or Type_s == 'Modify' or Type_s == 'Delete') and isnotempty(RuleName_s)

| order by TimeGenerated desc

Wymagania wstępne

Aby zintegrować aplikację NC Protect, upewnij się, że:

  • NC Protect: musisz mieć uruchomione wystąpienie nc Protect dla usługi O365. Skontaktuj się z nami.

Instrukcje instalacji dostawcy

  1. Instalowanie rozwiązania NC Protect w dzierżawie platformy Azure
  2. Zaloguj się do witryny Administracja istration nc Protect
  3. W menu nawigacji po lewej stronie wybierz pozycję Ogólne —> Monitorowanie aktywności użytkownika
  4. Zaznacz pole wyboru, aby włączyć usługę SIEM i kliknij przycisk Konfiguruj.
  5. Wybierz pozycję Microsoft Sentinel jako aplikację i ukończ konfigurację, korzystając z poniższych informacji
  6. Kliknij przycisk Zapisz, aby aktywować połączenie

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.