Conector de auditoria MongoDB para Microsoft Sentinel

  • Artigo

O conector de dados MongoDB fornece a capacidade de ingerir MongoDBAudit no Microsoft Sentinel. Consulte a documentação do MongoDB para obter mais informações.

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics MongoDBAudit_CL
Suporte a regras de coleta de dados Não é suportado atualmente
Apoiado por Corporação Microsoft

Exemplos de consulta

MongoDBAudit - Todas as Atividades.

MongoDBAudit

| sort by TimeGenerated desc

Instruções de instalação do fornecedor

NOTA: Este conector de dados depende de um analisador baseado numa Função Kusto para funcionar como esperado, que é implementado como parte da solução. Para visualizar o código da função no Log Analytics, abra a folha Log Analytics/Microsoft Sentinel Logs, clique em Funções e procure o alias MongoDBAudit e carregue o código da função ou clique aqui na segunda linha da consulta, insira o(s) nome(s) do(s) seu(s) dispositivo(s) MongoDBAudit e quaisquer outros identificadores exclusivos para o logstream. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.

  1. Instalar e integrar o agente para Linux ou Windows

Instale o agente no servidor Tomcat onde os logs são gerados.

Os logs do MongoDB Enterprise Server implantados em servidores Linux ou Windows são coletados por agentes Linux ou Windows .

  1. Configurar o MongoDBAudit para gravar logs em arquivos

Edite o arquivo mongod.conf (para Linux) ou mongod.cfg (para Windows) para gravar logs em arquivos:

dbPath: dados/db

caminho: data/db/auditLog.json

Defina os seguintes parâmetros: dbPath e path. Consulte a documentação do MongoDB para obter mais detalhes

  1. Configurar os logs a serem coletados

Configurar o diretório de log personalizado a ser coletado

  1. Selecione o link acima para abrir as configurações avançadas do seu espaço de trabalho
  2. No painel esquerdo, selecione Configurações, selecione Logs personalizados e clique em +Adicionar log personalizado
  3. Clique em Procurar para carregar uma amostra de um arquivo de log MongoDBAudit. Em seguida, clique em Avançar >
  4. Selecione Carimbo de data/hora como delimitador de registro e clique em Avançar >
  5. Selecione Windows ou Linux e insira o caminho para os logs do MongoDBAudit com base na sua configuração
  6. Depois de inserir o caminho, clique no símbolo '+' para aplicar e, em seguida, clique em Avançar >
  7. Adicione MongoDBAudit como o nome do log personalizado (o sufixo '_CL' será adicionado automaticamente) e clique em Concluído.

Validar a conectividade

Pode levar mais de 20 minutos até que seus logs comecem a aparecer no Microsoft Sentinel.

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.