共用方式為


適用於 Microsoft Sentinel 的 NC 保護連接器

NC 保護數據 連線 or (archtis.com) 提供將用戶活動記錄和事件內嵌至 Microsoft Sentinel 的功能。 連接器可讓您查看 NC 保護 Microsoft Sentinel 中的使用者活動記錄和事件,以改善監視和調查功能

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連線 or 屬性

連線 or 屬性 描述
Log Analytics 數據表(s) NCProtectUAL_CL
數據收集規則支援 目前不支援
支援者: archTIS

查詢範例

取得過去 7 天記錄


NCProtectUAL_CL

| where TimeGenerated > ago(7d)

| order by TimeGenerated desc

用戶一小時內連續登入失敗 3 次以上


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'LoginFailure'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s

| where  FailedRequestCount > 3

用戶一小時內連續下載失敗 3 次以上


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'Open' and Status_s == 'Fail'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s, DocumentUrl_s

| where  FailedRequestCount > 3

取得過去 7 天內建立或修改或刪除記錄的規則記錄


NCProtectUAL_CL

| where TimeGenerated > ago(7d) and (Type_s == 'Create' or Type_s == 'Modify' or Type_s == 'Delete') and isnotempty(RuleName_s)

| order by TimeGenerated desc

必要條件

若要與 NC Protect 整合,請確定您有:

  • NC 保護:您必須有適用於 O365 的 NC Protect 執行實例。 請 與我們連絡。

廠商安裝指示

  1. 將 NC 保護安裝到您的 Azure 租用
  2. 登入 NC Protect 管理員 istration 網站
  3. 從左側導覽功能表中,選取 [一般 -> 使用者活動監視]
  4. 勾選複選框以啟用 SIEM,然後按下 [設定] 按鈕
  5. 選取 [Microsoft Sentinel] 作為 [應用程式],並使用下列資訊完成設定
  6. 按兩下 [儲存] 以啟動連線

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案