Microsoft Sentinel için CTERA Syslog bağlayıcısı
Microsoft Sentinel için CTERA Veri Bağlayıcısı, CTERA çözümünüz için izleme ve tehdit algılama özellikleri sunar. Tür, silme ve reddedilen erişim işlemleri başına tüm işlemlerin toplamını görselleştiren bir çalışma kitabı içerir. Ayrıca fidye yazılımı olaylarını algılayan ve şüpheli fidye yazılımı etkinliği nedeniyle bir kullanıcı engellendiğinde sizi uyaran analiz kuralları sağlar. Ayrıca toplu erişim reddedilen olaylar, toplu silmeler ve toplu izin değişiklikleri gibi kritik desenleri belirlemenize yardımcı olur ve proaktif tehdit yönetimine ve yanıta olanak tanır.
Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.
Bağlayıcı öznitelikleri
Bağlayıcı özniteliği | Açıklama |
---|---|
Log Analytics tabloları | Syslog |
Veri toplama kuralları desteği | Çalışma alanı dönüştürme DCR |
Destekleyen: | CTERA |
Sorgu örnekleri
Reddedilen tüm işlemleri bulmak için sorgulayın.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where Permission matches regex @"(?i).*denied.*"
| summarize Count = count() by Permission
Tüm silme işlemlerini bulmak için sorgulayın.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where Permission == "op=delete"
| summarize Count = count() by Permission
Kullanıcıya göre işlemleri özetlemek için sorgulayın.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| summarize Count = count() by UserName, Permission
Portal kiracısına göre işlemleri özetlemek için sorgu yapın.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| summarize Count = count() by TenantName, Permission
Belirli bir kullanıcı tarafından gerçekleştirilen işlemleri bulmak için sorgu.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where UserName == 'user=specific_user'
| summarize Count = count() by Permission
Satıcı yükleme yönergeleri
1. Adım: CTERA Platform'u Syslog'a bağlama
CTERA portalı syslog bağlantınızı ve Edge-Filer Syslog bağlayıcınızı ayarlama
2. Adım: Syslog Server'a Azure İzleyici Aracısı'nın (AMA) yüklenmesi
Veri toplamayı etkinleştirmek için syslog sunucunuza Azure İzleyici Aracısı'nı (AMA) yükleyin.
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.