Łącznik dzienników aktywności obwodu 81 dla usługi Microsoft Sentinel
Łącznik Dzienniki aktywności obwodu 81 umożliwia łatwe łączenie dzienników aktywności obwodu 81 z usługą Microsoft Sentinel w celu wyświetlania pulpitów nawigacyjnych, tworzenia alertów niestandardowych i ulepszania badania.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
| atrybut Połączenie or | opis |
|---|---|
| Tabele usługi Log Analytics | Perimeter81_CL |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | Obwód 81 |
Przykłady zapytań
Błędy logowania użytkownika
Perimeter81_CL
| where eventName_s == "api.activity.login.fail"
Błędy autoryzacji aplikacji
Perimeter81_CL
| where eventName_s == "api.activity.application.auth.fail"
Rozpoczęcie sesji aplikacji
Perimeter81_CL
| where eventName_s == "api.activity.application.session.start"
Błędy uwierzytelniania według adresu IP i poczty e-mail (ostatnie 24 godziny)
Perimeter81_CL
| where TimeGenerated > ago(24h) and eventName_s in ("api.activity.login.fail", "api.activity.vpn.auth.fail", "api.activity.application.auth.fail")
| summarize count(releasedBy_email_s) by ip_s, releasedBy_email_s
| where count_releasedBy_email_s > 1
Usuwanie zasobów według adresu IP i wiadomości e-mail (ostatnie 24 godziny)
Perimeter81_CL
| where TimeGenerated > ago(24h) and eventName_s matches regex "api.activity.*.remove*
|api.activity.*.delete*
|api.activity.*.destroy*"
| summarize count(releasedBy_email_s) by ip_s, releasedBy_email_s
| where count_releasedBy_email_s > 1
Instrukcje instalacji dostawcy
Zanotuj poniższe wartości i postępuj zgodnie z instrukcjami w tym miejscu , aby połączyć dzienniki aktywności obwodu 81 z usługą Microsoft Sentinel.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.