[Не рекомендуется] Netwrix Auditor через соединитель AMA для Microsoft Sentinel
Внимание
Сбор журналов из многих устройств и устройств теперь поддерживается общим форматом событий (CEF) через AMA, Syslog через AMA или пользовательские журналы через соединитель данных AMA в Microsoft Sentinel. Дополнительные сведения см. в статье Поиск нужных соединителей данных Microsoft Sentinel.
Соединитель данных Аудитора Netwrix предоставляет возможность приема событий Netwrix Auditor (ранее — Stealthbits Privileged Activity Manager) в Microsoft Sentinel. Дополнительные сведения см. в документации по Netwrix.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Description |
|---|---|
| Псевдоним функции Kusto | NetwrixAuditor |
| URL-адрес функции Kusto | https://aka.ms/sentinel-netwrixauditor-parser |
| Таблицы Log Analytics | CommonSecurityLog |
| Поддержка правил сбора данных | Преобразование DCR рабочей области |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
События аудитора Netwrix — все действия.
NetwrixAuditor
| sort by TimeGenerated desc
Необходимые компоненты
Чтобы интегрироваться с [Не рекомендуется] Netwrix Auditor через AMA, убедитесь, что у вас есть:
- : для сбора данных из виртуальных машин, отличных от Azure, они должны быть установлены и включены в Azure Arc. Подробнее
- : общий формат событий (CEF) через AMA и Syslog через соединители данных AMA необходимо установить дополнительные сведения
Инструкции по установке поставщика
Примечание.
Этот соединитель данных зависит от средства синтаксического анализа NetwrixAuditor на основе функции Kusto для работы должным образом. Этот средство синтаксического анализа устанавливается вместе с установкой решения.
- Защита компьютера
Обязательно настройте безопасность компьютера в соответствии с политикой безопасности вашей организации.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.