Netclean ProActive Incidents-Connector für Microsoft Sentinel
Dieser Connector verwendet den Netclean-Webhook (erforderlich) und Logic Apps, um Daten an Microsoft Sentinel Log Analytics zu pushen.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
Connectorattribut | BESCHREIBUNG |
---|---|
Log Analytics-Tabellen | Netclean_Incidents_CL |
Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
Unterstützt von | NetClean |
Abfragebeispiele
Netclean: Alle Aktivitäten
Netclean_Incidents_CL
| sort by TimeGenerated desc
Installationsanweisungen des Anbieters
Hinweis
Der Datenconnector nutzt Azure Logic Apps, um Daten zu empfangen und an Log Analytics zu pushen. Dies kann zu zusätzlichen Datenerfassungskosten führen. Dies kann ohne Logic Apps oder NetClean Proactive getestet werden (siehe Option 2).
Option 1: Bereitstellen einer Logik-App (erfordert NetClean Proactive)
- Laden Sie die Logik-App herunter (unter https://portal.azure.com/#create/netcleantechnologiesab1651557549734.netcleanlogicappnetcleanproactivelogicapp), und installieren Sie sie.
- Navigieren Sie zu Ihrer neu erstellten Logik-App. Klicken Sie im Logik-App-Designer auf „+ Neuer Schritt“, suchen Sie nach „Datensammler von Azure Log Analytics“, klicken Sie darauf, und wählen Sie „Daten senden“ aus.
Geben Sie im JSON-Anforderungstext den benutzerdefinierten Protokollnamen „Netclean_Incidents“ und einen Dummywert ein, klicken Sie auf dem oberen Menüband auf die Option für die Codeansicht, und scrollen Sie nach unten bis etwa zur Zeile 100 (beginnt mit „body“).
Ersetzen Sie die gesamte Zeile durch Folgendes:
"body": "{\n"Hostname":"@{variables('machineName')}",\n"agentType":"@{triggerBody()['value']['agent']['type']}",\n"Identifier":"@{triggerBody()?['key']?['identifier']}",\n"type":"@{triggerBody()?['key']?['type']}",\n"version":"@{triggerBody()?['value']?['incidentVersion']}",\n"foundTime":"@{triggerBody()?['value']?['foundTime']}",\n"detectionMethod":"@{triggerBody()?['value']?['detectionHashType']}",\n"agentInformatonIdentifier":"@{triggerBody()?['value']?['device']?['identifier']}",\n"osVersion":"@{triggerBody()?['value']?['device']?['operatingSystemVersion']}",\n"machineName":"@{variables('machineName')}",\n"microsoftCultureId":"@{triggerBody()?['value']?['device']?['microsoftCultureId']}",\n"timeZoneId":"@{triggerBody()?['value']?['device']?['timeZoneName']}",\n"microsoftGeoId":"@{triggerBody()?['value']?['device']?['microsoftGeoId']}",\n"domainname":"@{variables('domain')}",\n"Agentversion":"@{triggerBody()['value']['agent']['version']}",\n"Agentidentifier":"@{triggerBody()['value']['identifier']}",\n"loggedOnUsers":"@{variables('Usernames')}",\n"size":"@{triggerBody()?['value']?['file']?['size']}",\n"creationTime":"@{triggerBody()?['value']?['file']?['creationTime']}",\n"lastAccessTime":"@{triggerBody()?['value']?['file']?['lastAccessTime']}",\n"lastWriteTime":"@{triggerBody()?['value']?['file']?['lastModifiedTime']}",\n"sha1":"@{triggerBody()?['value']?['file']?['calculatedHashes']?['sha1']}",\n"nearbyFiles_sha1":"@{variables('nearbyFiles_sha1s')}",\n"externalIP":"@{triggerBody()?['value']?['device']?['resolvedExternalIp']}",\n"domain":"@{variables('domain')}",\n"hasCollectedNearbyFiles":"@{variables('hasCollectedNearbyFiles')}",\n"filePath":"@{replace(triggerBody()['value']['file']['path'], '\', '\\')}",\n"m365WebUrl":"@{triggerBody()?['value']?['file']?['microsoft365']?['webUrl']}",\n"m365CreatedBymail":"@{triggerBody()?['value']?['file']?['createdBy']?['graphIdentity']?['user']?['mail']}",\n"m365LastModifiedByMail":"@{triggerBody()?['value']?['file']?['lastModifiedBy']?['graphIdentity']?['user']?['mail']}",\n"m365LibraryId":"@{triggerBody()?['value']?['file']?['microsoft365']?['library']?['id']}",\n"m365LibraryDisplayName":"@{triggerBody()?['value']?['file']?['microsoft365']?['library']?['displayName']}",\n"m365Librarytype":"@{triggerBody()?['value']?['file']?['microsoft365']?['library']?['type']}",\n"m365siteid":"@{triggerBody()?['value']?['file']?['microsoft365']?['site']?['id']}",\n"m365sitedisplayName":"@{triggerBody()?['value']?['file']?['microsoft365']?['site']?['displayName']}",\n"m365sitename":"@{triggerBody()?['value']?['file']?['microsoft365']?['parent']?['name']}",\n"countOfAllNearByFiles":"@{variables('countOfAllNearByFiles')}",\n\n}",
Klicken Sie auf „Speichern“.
3. Kopieren Sie die HTTP POST-URL. 4. Navigieren Sie in Ihrer NetClean ProActive-Webkonsole zu den Einstellungen. Konfigurieren Sie unter „Webhook“ einen neuen Webhook unter Verwendung der URL, die Sie aus Schritt 3 kopiert haben. 5. Überprüfen Sie die Funktionalität, indem Sie einen Demovorfall auslösen.
Option 2 (nur Testen)
Erfassen Sie Daten mithilfe einer API-Funktion. Verwenden Sie das Skript unter Senden von Protokolldaten an Azure Monitor mit der HTTP-Datensammler-API (Vorschau).
Ersetzen Sie die Werte „CustomerId“ und „SharedKey“ durch Ihre Werte und den Inhalt in der $json-Variablen durch die Beispieldaten.
Legen Sie die LogType-Variable auf Netclean_Incidents_CL fest, und führen Sie das Skript aus.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.