Konektor NC Protect untuk Microsoft Azure Sentinel
NC Protect Data Connector (archtis.com) menyediakan kemampuan untuk menyerap log aktivitas pengguna dan peristiwa ke Microsoft Azure Sentinel. Konektor memberikan visibilitas ke dalam NC Lindungi log aktivitas pengguna dan peristiwa di Microsoft Azure Sentinel untuk meningkatkan kemampuan pemantauan dan investigasi
Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.
Atribut konektor
| Atribut konektor | Deskripsi |
|---|---|
| Tabel Log Analytics | NCProtectUAL_CL |
| Dukungan aturan pengumpulan data | Saat ini tidak didukung |
| Didukung oleh | archTIS |
Kueri sampel
Mendapatkan rekaman 7 hari terakhir
NCProtectUAL_CL
| where TimeGenerated > ago(7d)
| order by TimeGenerated desc
Login gagal berturut-turut selama lebih dari 3 kali dalam satu jam oleh pengguna
NCProtectUAL_CL
| where TimeGenerated > ago(1h) and Type_s == 'LoginFailure'
| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s
| where FailedRequestCount > 3
Pengunduhan gagal berturut-turut selama lebih dari 3 kali dalam satu jam oleh pengguna
NCProtectUAL_CL
| where TimeGenerated > ago(1h) and Type_s == 'Open' and Status_s == 'Fail'
| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s, DocumentUrl_s
| where FailedRequestCount > 3
Mendapatkan log untuk aturan yang dibuat atau dimodifikasi atau dihapus dalam 7 hari terakhir
NCProtectUAL_CL
| where TimeGenerated > ago(7d) and (Type_s == 'Create' or Type_s == 'Modify' or Type_s == 'Delete') and isnotempty(RuleName_s)
| order by TimeGenerated desc
Prasyarat
Untuk berintegrasi dengan NC Protect, pastikan Anda memiliki:
- NC Protect: Anda harus memiliki instans NC Protect yang sedang berjalan untuk O365. Silakan hubungi kami.
Instruksi penginstalan vendor
- Menginstal NC Protect ke Azure Tenancy Anda
- Masuk ke situs Administrasi NC Protect
- Dari menu navigasi sebelah kiri, pilih Umum -> Pemantauan Aktivitas Pengguna
- Centang kotak centang untuk Mengaktifkan SIEM dan klik tombol Konfigurasi
- Pilih Microsoft Azure Sentinel sebagai Aplikasi dan lengkapi konfigurasi menggunakan informasi di bawah ini
- Klik Simpan untuk mengaktifkan koneksi
Langkah berikutnya
Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.