Conector NC Protect para Microsoft Sentinel

  • Artigo

O NC Protect Data Connector (archtis.com) fornece a capacidade de ingerir logs de atividades e eventos do usuário no Microsoft Sentinel. O conector fornece visibilidade sobre os logs de atividade do usuário e eventos do NC Protect no Microsoft Sentinel para melhorar os recursos de monitoramento e investigação

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics NCProtectUAL_CL
Suporte a regras de coleta de dados Não é suportado atualmente
Apoiado por archTIS

Exemplos de consulta

Obter registos dos últimos 7 dias


NCProtectUAL_CL

| where TimeGenerated > ago(7d)

| order by TimeGenerated desc

O login falhou consecutivamente por mais de 3 vezes em uma hora pelo usuário


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'LoginFailure'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s

| where  FailedRequestCount > 3

O download falhou consecutivamente por mais de 3 vezes em uma hora pelo usuário


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'Open' and Status_s == 'Fail'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s, DocumentUrl_s

| where  FailedRequestCount > 3

Obter logs para registros criados ou modificados ou excluídos de regras nos últimos 7 dias


NCProtectUAL_CL

| where TimeGenerated > ago(7d) and (Type_s == 'Create' or Type_s == 'Modify' or Type_s == 'Delete') and isnotempty(RuleName_s)

| order by TimeGenerated desc

Pré-requisitos

Para integrar com o NC Protect, certifique-se de:

  • NC Protect: Você deve ter uma instância em execução do NC Protect para O365. Entre em contato conosco.

Instruções de instalação do fornecedor

  1. Instalar o NC Protect no seu Azure Tenancy
  2. Faça login no site NC Protect Administration
  3. No menu de navegação à esquerda, selecione Geral -> Monitoramento da atividade do usuário
  4. Marque a caixa de seleção para Ativar SIEM e clique no botão Configurar
  5. Selecione Microsoft Sentinel como o aplicativo e conclua a configuração usando as informações abaixo
  6. Clique em Salvar para ativar a conexão

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.