Microsoft Sentinel için NC Koruma bağlayıcısı

  • Makale

NC Protect Data Bağlan or (archtis.com), kullanıcı etkinlik günlüklerini ve olaylarını Microsoft Sentinel'e alma özelliği sağlar. Bağlayıcı, izleme ve araştırma özelliklerini geliştirmek için Microsoft Sentinel'de NC Koruma kullanıcı etkinlik günlükleri ve olayları için görünürlük sağlar

Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.

Bağlan or öznitelikleri

Bağlan or özniteliği Açıklama
Log Analytics tabloları NCProtectUAL_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: archTIS

Sorgu örnekleri

Son 7 günlük kayıtları alma


NCProtectUAL_CL

| where TimeGenerated > ago(7d)

| order by TimeGenerated desc

Kullanıcı tarafından bir saatte 3'ten fazla kez art arda oturum açılamadı


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'LoginFailure'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s

| where  FailedRequestCount > 3

İndirme işlemi kullanıcı tarafından bir saatte 3'ten fazla kez art arda başarısız oldu


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'Open' and Status_s == 'Fail'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s, DocumentUrl_s

| where  FailedRequestCount > 3

Son 7 gün içinde oluşturulan, değiştirilen veya silinen kayıtların günlüklerini alma


NCProtectUAL_CL

| where TimeGenerated > ago(7d) and (Type_s == 'Create' or Type_s == 'Modify' or Type_s == 'Delete') and isnotempty(RuleName_s)

| order by TimeGenerated desc

Önkoşullar

NC Protect ile tümleştirmek için aşağıdakilere sahip olduğunuzdan emin olun:

  • NC Koruması: O365 için çalışan bir NC Koruması örneğine sahip olmanız gerekir. Lütfen bizimle iletişime geçin.

Satıcı yükleme yönergeleri

  1. Azure Kiracınıza NC Koruması yükleme
  2. NC Koruma Yönetici istrasyon sitesinde oturum açın
  3. Sol gezinti menüsünden Genel -> Kullanıcı Etkinliği İzleme'yi seçin
  4. SIEM'yi etkinleştir onay kutusunu işaretleyin ve Yapılandır düğmesine tıklayın
  5. Uygulama olarak Microsoft Sentinel'i seçin ve aşağıdaki bilgileri kullanarak yapılandırmayı tamamlayın
  6. Bağlantıyı etkinleştirmek için Kaydet'e tıklayın

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.