موصل CTERA Syslog ل Microsoft Sentinel
يوفر موصل بيانات CTERA ل Microsoft Sentinel إمكانات المراقبة والكشف عن التهديدات لحل CTERA الخاص بك. يتضمن مصنفا يتصور مجموع جميع العمليات لكل نوع وعمليات حذف وعمليات وصول مرفوضة. كما يوفر قواعد تحليلية تكتشف حوادث برامج الفدية الضارة وتنبيهك عند حظر المستخدم بسبب نشاط برامج الفدية الضارة المشبوهة. بالإضافة إلى ذلك، يساعدك على تحديد الأنماط الهامة مثل الأحداث التي تم رفض الوصول الجماعي إليها، والحذف الجماعي، وتغييرات الأذونات الجماعية، ما يتيح إدارة التهديدات والاستجابة الاستباقية.
هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.
سمات الموصل
| سمة الموصل | الوصف |
|---|---|
| جدول (جداول) Log Analytics | Syslog |
| دعم قواعد جمع البيانات | تحويل DCR لمساحة العمل |
| مدعومة من قبل | CTERA |
عينات الاستعلام
الاستعلام للعثور على كافة العمليات التي تم رفضها.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where Permission matches regex @"(?i).*denied.*"
| summarize Count = count() by Permission
الاستعلام للعثور على جميع عمليات الحذف.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where Permission == "op=delete"
| summarize Count = count() by Permission
الاستعلام لتلخيص العمليات حسب المستخدم.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| summarize Count = count() by UserName, Permission
الاستعلام لتلخيص العمليات بواسطة مستأجر المدخل.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| summarize Count = count() by TenantName, Permission
الاستعلام للعثور على العمليات التي يقوم بها مستخدم معين.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where UserName == 'user=specific_user'
| summarize Count = count() by Permission
إرشادات تثبيت المورد
الخطوة 1: توصيل CTERA Platform ب Syslog
إعداد اتصال syslog لمدخل CTERA وموصل Edge-Filer Syslog
الخطوة 2: تثبيت عامل Azure Monitor (AMA) على Syslog Server
قم بتثبيت عامل Azure Monitor (AMA) على خادم syslog لتمكين جمع البيانات.
الخطوات التالية
لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.