你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的 NC Protect 连接器

NC Protect 数据连接器 (archtis.com) 提供将用户活动日志和事件引入 Microsoft Sentinel 的功能。 该连接器提供对 Microsoft Sentinel 中 NC Protect 用户活动日志和事件的可见性,以提高监视和调查功能

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
Log Analytics 表 NCProtectUAL_CL
数据收集规则支持 目前不支持
支持的服务 archTIS

查询示例

获取过去 7 天的记录


NCProtectUAL_CL

| where TimeGenerated > ago(7d)

| order by TimeGenerated desc

用户在一小时内连续登录失败超过 3 次


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'LoginFailure'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s

| where  FailedRequestCount > 3

用户在一小时内连续下载失败超过 3 次


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'Open' and Status_s == 'Fail'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s, DocumentUrl_s

| where  FailedRequestCount > 3

为过去 7 天内创建或修改的规则或删除的记录获取日志


NCProtectUAL_CL

| where TimeGenerated > ago(7d) and (Type_s == 'Create' or Type_s == 'Modify' or Type_s == 'Delete') and isnotempty(RuleName_s)

| order by TimeGenerated desc

先决条件

若要与 NC Protect 集成,请确保满足以下条件:

  • NC Protect:你必须有一个正在运行的 NC Protect for O365 实例。 请与我们联系

供应商安装说明

  1. 将 NC Protect 安装到 Azure 租户中
  2. 登录到 NC Protect Administration 站点
  3. 在左侧导航菜单中,选择“常规”->“用户活动监视”
  4. 勾选“启用 SIEM”复选框,然后单击“配置”按钮
  5. 选择“Microsoft Sentinel”作为“应用程序”,并使用以下信息完成配置
  6. 单击“保存”以激活连接

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案