Поделиться через


Соединитель Cognni для Microsoft Sentinel

Соединитель Cognni обеспечивает быструю и простую интеграцию с Microsoft Sentinel. Вы можете использовать Cognni для автономной сопоставления ранее неклассифицированной важной информации и обнаружения связанных инцидентов. Это позволяет распознавать риски для важных сведений, понимать серьезность инцидентов и исследовать сведения, необходимые для исправления, достаточно быстро, чтобы внести изменения.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics CognniIncidents_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Cognni

Примеры запросов

Получение всех инцидентов по времени

CognniIncidents_CL            
| order by TimeGenerated desc 

Получение инцидентов с высоким риском

CognniIncidents_CL            
| where Severity == 3

Получение инцидентов среднего риска

CognniIncidents_CL            
| where Severity == 2

Получение инцидентов с низким риском

CognniIncidents_CL            
| where Severity == 1

Инструкции по установке поставщика

Подключение к Cognni

  1. Страница интеграции Cognni
  2. Щелкните "Подключение" в поле "Microsoft Sentinel"
  3. Копирование и вставка "workspaceId" и "sharedKey" (от ниже) к соответствующим полям на экране интеграции Cognni
  4. Щелкните бот "Подключение", чтобы завершить настройку.
    Вскоре все обнаруженные инциденты Cognni будут переадресованы здесь (в Microsoft Sentinel)

Не пользователь Cognni? Присоединяйтесь к нам

Общий ключ

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.