Conector de incidentes Netclean ProActive para Microsoft Sentinel
Esse conector usa o Netclean Webhook (obrigatório) e os Aplicativos Lógicos para enviar dados por push para o Microsoft Sentinel Log Analytics
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | Netclean_Incidents_CL |
| Suporte a regras de coleta de dados | Não é suportado atualmente |
| Apoiado por | NetClean |
Exemplos de consulta
Netclean - Todas as Atividades.
Netclean_Incidents_CL
| sort by TimeGenerated desc
Instruções de instalação do fornecedor
Nota
O conector de dados depende dos Aplicativos Lógicos do Azure para receber e enviar dados por push para o Log Analytics Isso pode resultar em custos adicionais de ingestão de dados. É possível testar isso sem Aplicativos Lógicos ou NetClean Proativo, veja a opção 2
Opção 1: implantar o aplicativo lógico (requer o NetClean Proactive)
- Transfira e instale a aplicação Logic aqui: https://portal.azure.com/#create/netcleantechnologiesab1651557549734.netcleanlogicappnetcleanproactivelogicapp)
- Vá para seu aplicativo lógico recém-criado No designer do aplicativo Logic, clique em +Nova etapa e procure por "Azure Log Analytics Data Collector" clique nele e selecione "Enviar dados"
Digite o nome do log personalizado: Netclean_Incidents e um valor fictício no corpo da solicitação Json e clique em salvar Vá para a visualização de código na faixa de opções superior e role para baixo até a linha ~100 que deve começar com "Corpo"
Substitua totalmente a linha por:
"body": "{\n"Hostname":"@{variables('machineName')}",\n"agentType":"@{triggerBody()['value']['agent']['type']}",\n"Identifier":"@{triggerBody()?[' chave']? ['identifier']}",\n"type":"@{triggerBody()?[' chave']? ['type']}",\n"versão":"@{triggerBody()?[' valor']? ['incidentVersion']}",\n"foundTime":"@{triggerBody()?[' valor']? ['foundTime']}",\n"detectionMethod":"@{triggerBody()?[' valor']? ['detectionHashType']}",\n"agentInformatonIdentifier":"@{triggerBody()?[' valor']? ['dispositivo']? ['identifier']}",\n"osVersion":"@{triggerBody()?[' valor']? ['dispositivo']? ['operatingSystemVersion']}",\n"machineName":"@{variables('machineName')}",\n"microsoftCultureId":"@{triggerBody()?[' valor']? ['dispositivo']? ['microsoftCultureId']}",\n"timeZoneId":"@{triggerBody()?[' valor']? ['dispositivo']? ['timeZoneName']}",\n"microsoftGeoId":"@{triggerBody()?[' valor']? ['dispositivo']? ['microsoftGeoId']}",\n"domainname":"@{variables('domain')}",\n"Agentversion":"@{triggerBody()['value']['agent']['version']}",\n"Agentidentifier":"@{triggerBody()['value']['identifier']}",\n"loggedOnUsers":"@{variables('Usernames')}",\n"size":"@{triggerBody()?[' valor']? ['ficheiro']? ['size']}",\n"creationTime":"@{triggerBody()?[' valor']? ['ficheiro']? ['creationTime']}",\n"lastAccessTime":"@{triggerBody()?[' valor']? ['ficheiro']? ['lastAccessTime']}",\n"lastWriteTime":"@{triggerBody()?[' valor']? ['ficheiro']? ['lastModifiedTime']}",\n"sha1":"@{triggerBody()?[' valor']? ['ficheiro']? ['calculatedHashes']? ['sha1']}",\n"nearbyFiles_sha1":"@{variables('nearbyFiles_sha1s')}",\n"externalIP":"@{triggerBody()?[' valor']? ['dispositivo']? ['resolvedExternalIp']}",\n"domain":"@{variables('domain')}",\n"hasCollectedNearbyFiles":"@{variables('hasCollectedNearbyFiles')}",\n"filePath":"@{replace(triggerBody()['value']['file']['path'], '\', '\\')}",\n"m365WebUrl":"@{triggerBody()?[' valor']? ['ficheiro']? ['Microsoft365']? ['webUrl']}",\n"m365CreatedBymail":"@{triggerBody()?[' valor']? ['ficheiro']? ['createdBy']? ['graphIdentity']? ['utilizador']? ['mail']}",\n"m365LastModifiedByMail":"@{triggerBody()?[' valor']? ['ficheiro']? ['lastModifiedBy']? ['graphIdentity']? ['utilizador']? ['mail']}",\n"m365LibraryId":"@{triggerBody()?[' valor']? ['ficheiro']? ['Microsoft365']? ['biblioteca']? ['id']}",\n"m365LibraryDisplayName":"@{triggerBody()?[' valor']? ['ficheiro']? ['Microsoft365']? ['biblioteca']? ['displayName']}",\n"m365Librarytype":"@{triggerBody()?[' valor']? ['ficheiro']? ['Microsoft365']? ['biblioteca']? ['type']}",\n"m365siteid":"@{triggerBody()?[' valor']? ['ficheiro']? ['Microsoft365']? ['sítio']? ['id']}",\n"m365sitedisplayName":"@{triggerBody()?[' valor']? ['ficheiro']? ['Microsoft365']? ['sítio']? ['displayName']}",\n"m365sitename":"@{triggerBody()?[' valor']? ['ficheiro']? ['Microsoft365']? ['pai']? ['name']}",\n"countOfAllNearByFiles":"@{variables('countOfAllNearByFiles')}",\n\n}",
Clique em Salvar
3. Copie o HTTP POST URL 4. Vá para o console da Web do NetClean ProActive e vá para configurações, Em Webhook, configure um novo webhook usando o URL copiado da etapa 3 5. Verifique a funcionalidade acionando um incidente de demonstração.
Opção 2 (Apenas ensaio)
Ingerir dados usando uma função api. use o script encontrado em Enviar dados de log para o Azure Monitor usando a API do Coletor de Dados HTTP
Substitua os valores CustomerId e SharedKey pelos seus valores Substitua o conteúdo em $json variável para os dados de exemplo.
Defina a variável LogType como Netclean_Incidents_CL Executar o script
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.