Compartir vía

Conector CTERA Syslog para Microsoft Sentinel

  • Artículo

El conector de datos CTERA para Microsoft Sentinel ofrece funcionalidades de supervisión y detección de amenazas para la solución CTERA. Incluye un libro en el que se visualiza la suma de todas las operaciones por tipo, las eliminaciones y las operaciones de acceso denegado. También proporciona reglas analíticas que detectan incidentes de ransomware y le alertan cuando un usuario está bloqueado debido a actividades sospechosas de ransomware. Además, le ayuda a identificar patrones críticos, como eventos masivos de denegación de acceso, eliminaciones masivas y cambios masivos de permisos, lo que permite una administración y respuesta proactivas ante las amenazas.

Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector Descripción
Tabla de Log Analytics syslog
Compatibilidad con reglas de recopilación de datos DCR de transformación del área de trabajo
Compatible con CTERA

Ejemplos de consultas

Consulta para buscar todas las operaciones denegadas.

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| where Permission matches regex @"(?i).*denied.*"

| summarize Count = count() by Permission

Consulta para buscar todas las operaciones de eliminación.

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| where Permission == "op=delete"

| summarize Count = count() by Permission

Consulta para resumir las operaciones por usuario.

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| summarize Count = count() by UserName, Permission

Consulta para resumir las operaciones por parte de un inquilino del portal.

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| summarize Count = count() by TenantName, Permission

Consulta para buscar operaciones realizadas por un usuario específico.

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| where UserName == 'user=specific_user'

| summarize Count = count() by Permission

Instrucciones de instalación del proveedor

Paso 1: conexión de la plataforma CTERA a Syslog

Configuración de la conexión syslog del portal CTERA y el conector syslog de Edge-Filer

Paso 2: instalación del agente de Azure Monitor (AMA) en el servidor syslog

Instale el agente de Azure Monitor (AMA) en el servidor syslog para habilitar la recopilación de datos.

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.