Sdílet prostřednictvím

Konektor CTERA Syslog pro Microsoft Sentinel

  • Článek

Datový konektor CTERA pro Microsoft Sentinel nabízí funkce monitorování a detekce hrozeb pro vaše řešení CTERA. Obsahuje sešit, který vizualizuje součet všech operací na typ, odstranění a operace odepření přístupu. Poskytuje také analytická pravidla, která detekuje incidenty ransomwaru a upozorní vás, když je uživatel zablokovaný kvůli podezřelé aktivitě ransomwaru. Kromě toho vám pomůže identifikovat kritické vzory, jako jsou události odepření hromadného přístupu, hromadné odstranění a změny hromadných oprávnění, což umožňuje proaktivní správu hrozeb a reakci.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

Atributy konektoru

Atribut konektoru Popis
Tabulky Log Analytics Syslog
Podpora pravidel shromažďování dat Transformace pracovního prostoru – DCR
Podporováno CTERA

Ukázky dotazů

Dotaz na vyhledání všech zamítnutých operací

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| where Permission matches regex @"(?i).*denied.*"

| summarize Count = count() by Permission

Dotaz na vyhledání všech operací odstranění

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| where Permission == "op=delete"

| summarize Count = count() by Permission

Dotaz na shrnutí operací podle uživatele

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| summarize Count = count() by UserName, Permission

Dotaz na shrnutí operací podle tenanta portálu

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| summarize Count = count() by TenantName, Permission

Dotaz na vyhledání operací provedených konkrétním uživatelem

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| where UserName == 'user=specific_user'

| summarize Count = count() by Permission

Pokyny k instalaci dodavatele

Krok 1: Připojení platformy CTERA k Syslogu

Nastavení připojení syslogu portálu CTERA a konektor Syslog edge-Filer

Krok 2: Instalace agenta služby Azure Monitor (AMA) na serveru Syslog

Nainstalujte agenta Služby Azure Monitor (AMA) na server syslogu, abyste povolili shromažďování dat.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.