Поделиться через

Соединитель NC Protect для Microsoft Sentinel

  • Статья

NC Protect Data Подключение or (archtis.com) предоставляет возможность приема журналов и событий пользователя в Microsoft Sentinel. Соединитель обеспечивает видимость журналов действий и событий защиты пользователей в Microsoft Sentinel для улучшения возможностей мониторинга и исследования.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics NCProtectUAL_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается archTIS

Примеры запросов

Получение последних 7 дней записей


NCProtectUAL_CL

| where TimeGenerated > ago(7d)

| order by TimeGenerated desc

Сбой входа в систему в течение более чем 3 раз в час по пользователю


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'LoginFailure'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s

| where  FailedRequestCount > 3

Сбой скачивания в течение более 3 раз в час по пользователю


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'Open' and Status_s == 'Fail'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s, DocumentUrl_s

| where  FailedRequestCount > 3

Получение журналов для правил, созданных или измененных или удаленных записей за последние 7 дней


NCProtectUAL_CL

| where TimeGenerated > ago(7d) and (Type_s == 'Create' or Type_s == 'Modify' or Type_s == 'Delete') and isnotempty(RuleName_s)

| order by TimeGenerated desc

Необходимые компоненты

Чтобы интегрироваться с NC Protect, убедитесь, что у вас есть:

  • Защита NC: у вас должен быть запущенный экземпляр NC Protect для O365. Обратитесь к нам.

Инструкции по установке поставщика

  1. Установка NC Protect в azure Tenancy
  2. Войдите на сайт NC Protect Администратор istration
  3. В меню навигации слева выберите "Общие" —> мониторинг активности пользователей
  4. Установите флажок проверка, чтобы включить SIEM, и нажмите кнопку "Настройка"
  5. Выберите Microsoft Sentinel в качестве приложения и заполните конфигурацию с помощью приведенных ниже сведений
  6. Нажмите кнопку "Сохранить", чтобы активировать подключение

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.