Aracılığıyla paylaş


Microsoft Sentinel için CTERA Syslog bağlayıcısı

Microsoft Sentinel için CTERA Veri Bağlayıcısı, CTERA çözümünüz için izleme ve tehdit algılama özellikleri sunar. Tür, silme ve reddedilen erişim işlemleri başına tüm işlemlerin toplamını görselleştiren bir çalışma kitabı içerir. Ayrıca fidye yazılımı olaylarını algılayan ve şüpheli fidye yazılımı etkinliği nedeniyle bir kullanıcı engellendiğinde sizi uyaran analiz kuralları sağlar. Ayrıca toplu erişim reddedilen olaylar, toplu silmeler ve toplu izin değişiklikleri gibi kritik desenleri belirlemenize yardımcı olur ve proaktif tehdit yönetimine ve yanıta olanak tanır.

Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.

Bağlayıcı öznitelikleri

Bağlayıcı özniteliği Açıklama
Log Analytics tabloları Syslog
Veri toplama kuralları desteği Çalışma alanı dönüştürme DCR
Destekleyen: CTERA

Sorgu örnekleri

Reddedilen tüm işlemleri bulmak için sorgulayın.

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| where Permission matches regex @"(?i).*denied.*"

| summarize Count = count() by Permission

Tüm silme işlemlerini bulmak için sorgulayın.

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| where Permission == "op=delete"

| summarize Count = count() by Permission

Kullanıcıya göre işlemleri özetlemek için sorgulayın.

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| summarize Count = count() by UserName, Permission

Portal kiracısına göre işlemleri özetlemek için sorgu yapın.

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| summarize Count = count() by TenantName, Permission

Belirli bir kullanıcı tarafından gerçekleştirilen işlemleri bulmak için sorgu.

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| where UserName == 'user=specific_user'

| summarize Count = count() by Permission

Satıcı yükleme yönergeleri

1. Adım: CTERA Platform'u Syslog'a bağlama

CTERA portalı syslog bağlantınızı ve Edge-Filer Syslog bağlayıcınızı ayarlama

2. Adım: Syslog Server'a Azure İzleyici Aracısı'nın (AMA) yüklenmesi

Veri toplamayı etkinleştirmek için syslog sunucunuza Azure İzleyici Aracısı'nı (AMA) yükleyin.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.