Microsoft Sentinel 的 NXLog FIM 連接器
NXLog FIM 模組允許掃描檔案和目錄、報告偵測到的新增、變更、重新命名和刪除指定路徑,在連續掃描期間透過計算總和檢查碼。 此 REST API 連接器可以有效率地將設定的 FIM 事件匯出至Microsoft Sentinel。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 記錄分析資料表 | NXLogFIM_CL |
| 資料收集規則支援 | 目前不支援 |
| 支援者 | NXLog |
查詢範例
尋找所有 DELETE 事件
NXLogFIM_CL
| where EventType_s == 'DELETE'
| project-away
SourceSystem,
Type
| sort by EventTime_t
每個類型、每一主機的事件條形圖
NXLogFIM_CL
| summarize EventCount = count() by Hostname_s, EventType_s
| where strlen(EventType_s) > 1
| project Eventype = Hostname_s, EventType_s, EventCount
| order by EventCount desc
| render barchart
每個主機事件視覺效果的餅圖
NXLogFIM_CL
| summarize EventCount = count() by Hostname_s, EventType_s
| sort by EventCount
| render piechart
每個主機的事件一般摘要
NXLogFIM_CL
| summarize count() by Hostname_s, EventType_s