Konektor Syslog CTERA untuk Microsoft Azure Sentinel
Konektor Data CTERA untuk Microsoft Sentinel menawarkan kemampuan pemantauan dan deteksi ancaman untuk solusi CTERA Anda. Ini termasuk buku kerja yang memvisualisasikan jumlah semua operasi per jenis, penghapusan, dan operasi akses yang ditolak. Ini juga menyediakan aturan analitik yang mendeteksi insiden ransomware dan memberi tahu Anda ketika pengguna diblokir karena aktivitas ransomware yang mencurigakan. Selain itu, ini membantu Anda mengidentifikasi pola penting seperti peristiwa yang ditolak akses massal, penghapusan massal, dan perubahan izin massal, memungkinkan manajemen dan respons ancaman proaktif.
Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.
Atribut konektor
| Atribut konektor | Deskripsi |
|---|---|
| Tabel Log Analytics | Syslog |
| Dukungan aturan pengumpulan data | DCR transformasi ruang kerja |
| Didukung oleh | CTERA |
Kueri sampel
Kueri untuk menemukan semua operasi yang ditolak.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where Permission matches regex @"(?i).*denied.*"
| summarize Count = count() by Permission
Kueri untuk menemukan semua operasi penghapusan.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where Permission == "op=delete"
| summarize Count = count() by Permission
Kueri untuk meringkas operasi menurut pengguna.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| summarize Count = count() by UserName, Permission
Kueri untuk meringkas operasi oleh penyewa portal.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| summarize Count = count() by TenantName, Permission
Kueri untuk menemukan operasi yang dilakukan oleh pengguna tertentu.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where UserName == 'user=specific_user'
| summarize Count = count() by Permission
Instruksi penginstalan vendor
Langkah 1: Sambungkan Platform CTERA ke Syslog
Menyiapkan koneksi syslog portal CTERA dan konektor Syslog Edge-Filer Anda
Langkah 2: Instal Azure Monitor Agent (AMA) di Syslog Server
Instal Azure Monitor Agent (AMA) di server syslog Anda untuk mengaktifkan pengumpulan data.
Langkah berikutnya
Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.