Udostępnij za pośrednictwem


Łącznik Netclean ProActive Incidents dla usługi Microsoft Sentinel

Ten łącznik używa elementu webhook Netclean (wymagane) i usługi Logic Apps do wypychania danych do usługi Log Analytics usługi Microsoft Sentinel

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

atrybuty Połączenie or

atrybut Połączenie or opis
Tabele usługi Log Analytics Netclean_Incidents_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez NetClean

Przykłady zapytań

Netclean — wszystkie działania.

Netclean_Incidents_CL 
| sort by TimeGenerated desc

Instrukcje instalacji dostawcy

Uwaga

Łącznik danych opiera się na usłudze Azure Logic Apps w celu odbierania i wypychania danych do usługi Log Analytics. Może to spowodować dodatkowe koszty pozyskiwania danych. Można to przetestować bez usługi Logic Apps lub NetClean Proaktywne zobacz opcję 2

Opcja 1. Wdrażanie aplikacji logiki (wymaga proaktywnego netClean)

  1. Pobierz i zainstaluj aplikację logiki tutaj: https://portal.azure.com/#create/netcleantechnologiesab1651557549734.netcleanlogicappnetcleanproactivelogicapp)
  2. Przejdź do nowo utworzonej aplikacji logiki W projektancie aplikacji logiki kliknij pozycję +Nowy krok i wyszukaj pozycję "Moduł zbierający dane usługi Azure Log Analytics" kliknij go i wybierz pozycję "Wyślij dane"
    Wprowadź niestandardową nazwę dziennika: Netclean_Incidents i fikcyjną wartość w treści żądania Json, a następnie kliknij pozycję Zapisz widok kodu na górnej wstążce i przewiń w dół do wiersza ~100, który powinien zaczynać się od "Treść"
    zastąp wierszentirly:

"body": "{\n"Hostname":"@{variables('machineName')}",\n"agentType":"@{triggerBody()['value']['agent']['type']}",\n"Identifier":"@{triggerBody()?[' key']? ['identifier']}",\n"type":"@{triggerBody()?[' key']? ['type']}",\n"version":"@{triggerBody()?[' wartość']? ['incidentVersion']}",\n"foundTime":"@{triggerBody()?[' wartość']? ['foundTime']}",\n"detectionMethod":"@{triggerBody()?[' wartość']? ['detectionHashType']}",\n"agentInformatonIdentifier":"@{triggerBody()?[' wartość']? ['urządzenie']? ['identifier']}",\n"osVersion":"@{triggerBody()?[' wartość']? ['urządzenie']? ['operatingSystemVersion']}",\n"machineName":"@{variables('machineName')}",\n"microsoftCultureId":"@{triggerBody()?[' wartość']? ['urządzenie']? ['microsoftCultureId']}",\n"timeZoneId":"@{triggerBody()?[' wartość']? ['urządzenie']? ['timeZoneName']}",\n"microsoftGeoId":"@{triggerBody()?[' wartość']? ['urządzenie']? ['microsoftGeoId']}",\n"domainname":"@{variables('domain')}",\n"Agentversion":"@{triggerBody()['value']['agent']['version']}",\n"" Agentidentifier":"@{triggerBody()['value']['identifier']}",\n"loggedOnUsers":"@{variables('Usernames')}",\n"size":"@{triggerBody()?[' wartość']? ['file']? ['size']}",\n"creationTime":"@{triggerBody()?[' wartość']? ['file']? ['creationTime']}",\n"lastAccessTime":"@{triggerBody()?[' wartość']? ['file']? ['lastAccessTime']}",\n"lastWriteTime":"@{triggerBody()?[' wartość']? ['file']? ['lastModifiedTime']}",\n"sha1":"@{triggerBody()?[' wartość']? ['file']? ['calculatedHashes']? ['sha1']}",\n"nearbyFiles_sha1":"@{variables('nearbyFiles_sha1s')}",\n"externalIP":"@{triggerBody()?[' wartość']? ['urządzenie']? ['resolvedExternalIp']}",\n"domain":"@{variables('domain')}",\n"hasCollectedNearbyFiles":"@{variables('hasCollectedNearbyFiles')}",\n"filePath":"@{replace(triggerBody()['value']['file']['path'], '\', '\')}",\n"m365WebUrl":"@{triggerBody()?[" wartość']? ['file']? ['microsoft365']? ['webUrl']}",\n"m365CreatedBymail":"@{triggerBody()?[' wartość']? ['file']? ['createdBy']? ['graphIdentity']? ['user']? ['mail']}",\n"m365LastModifiedByMail":"@{triggerBody()?[' wartość']? ['file']? ['lastModifiedBy']? ['graphIdentity']? ['user']? ['mail']}",\n"m365LibraryId":"@{triggerBody()?[' wartość']? ['file']? ['microsoft365']? ['biblioteka']? ['id']}",\n"m365LibraryDisplayName":"@{triggerBody()?[' wartość']? ['file']? ['microsoft365']? ['biblioteka']? ['displayName']}",\n"m365Librarytype":"@{triggerBody()?[' wartość']? ['file']? ['microsoft365']? ['biblioteka']? ['type']}",\n"m365siteid":"@{triggerBody()?[' wartość']? ['file']? ['microsoft365']? ['site']? ['id']}",\n"m365sitedisplayName":"@{triggerBody()?[' wartość']? ['file']? ['microsoft365']? ['site']? ['displayName']}",\n"m365sitename":"@{triggerBody()?[' wartość']? ['file']? ['microsoft365']? ['parent']? ['name']}",\n"countOfAllNearByFiles":"@{variables('countOfAllNearByFiles')}",\n\n}",
kliknij przycisk Zapisz
3. Skopiuj adres URL POST PROTOKOŁU HTTP 4. Przejdź do konsoli sieci Web NetClean ProActive i przejdź do ustawień w obszarze Element webhook skonfiguruj nowy element webhook przy użyciu adresu URL skopiowanego z kroku 3 5. Zweryfikuj funkcjonalność, wyzwalając zdarzenie demonstracyjne.

Opcja 2 (tylko testowanie)

Pozyskiwanie danych przy użyciu funkcji interfejsu API. Użyj skryptu znalezionego w artykule Wysyłanie danych dziennika do usługi Azure Monitor przy użyciu interfejsu API modułu zbierającego dane HTTP
Zastąp wartości CustomerId i SharedKey wartościami Zastąp zawartość w zmiennej $json przykładowymi danymi. Ustaw właściwość LogType varible na Netclean_Incidents_CL Uruchom skrypt

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.