Соединитель журналов действий Периметра 81 для Microsoft Sentinel

Соединитель журналов действий Периметра 81 позволяет легко подключать журналы действий Периметра 81 с помощью Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя	Description
Таблицы Log Analytics	Perimeter81_CL
Поддержка правил сбора данных	В настоящий момент не поддерживается
Поддерживается	Периметр 81

Примеры запросов

Сбои входа пользователя

Perimeter81_CL 
| where eventName_s == "api.activity.login.fail"

Сбои авторизации приложения

Perimeter81_CL 
| where eventName_s == "api.activity.application.auth.fail"

Запуск сеанса приложения

Perimeter81_CL 
| where eventName_s == "api.activity.application.session.start"

Сбои проверки подлинности по IP-адресу и электронной почте (последние 24 часа)

Perimeter81_CL

| where TimeGenerated > ago(24h) and eventName_s in ("api.activity.login.fail", "api.activity.vpn.auth.fail", "api.activity.application.auth.fail")

| summarize count(releasedBy_email_s) by ip_s, releasedBy_email_s

| where count_releasedBy_email_s > 1

Удаление ресурсов по IP-адресу и электронной почте (за последние 24 часа)

Perimeter81_CL

| where TimeGenerated > ago(24h) and eventName_s matches regex "api.activity.*.remove*
|api.activity.*.delete*
|api.activity.*.destroy*"  

| summarize count(releasedBy_email_s) by ip_s, releasedBy_email_s

| where count_releasedBy_email_s > 1

Инструкции по установке поставщика

Обратите внимание на приведенные ниже значения и следуйте инструкциям , чтобы подключить журналы действий Периметра 81 с помощью Microsoft Sentinel.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.