Connecteur CTERA Syslog pour Microsoft Sentinel
Le connecteur de données CTERA pour Microsoft Sentinel offre des fonctionnalités de monitoring et de détection des menaces pour votre solution CTERA. Il comprend un classeur pour visualiser le total de toutes les opérations par type, les suppressions et les opérations d’accès refusé. Il fournit également des règles analytiques qui détectent les incidents liés à des rançongiciels et vous alertent en cas de blocage d’un utilisateur en raison d’une activité de rançongiciel suspecte. En outre, il vous aide à identifier des modèles critiques tels que les événements d’accès refusés par lots, ce qui permet une gestion des menaces et une réponse proactives.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | syslog |
| Support des Règles de collecte de données | Règles de collecte de données pour la transformation de l’espace de travail |
| Pris en charge par | CTERA |
Exemples de requête
Interrogez pour trouver toutes les opérations refusées.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where Permission matches regex @"(?i).*denied.*"
| summarize Count = count() by Permission
Interrogez pour trouver toutes les opérations de suppression.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where Permission == "op=delete"
| summarize Count = count() by Permission
Interrogez pour résumer des opérations par utilisateur.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| summarize Count = count() by UserName, Permission
Interrogez pour résumer des opérations par un locataire de portail.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| summarize Count = count() by TenantName, Permission
Interrogez pour trouver les opérations effectuées par un utilisateur spécifique.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where UserName == 'user=specific_user'
| summarize Count = count() by Permission
Instructions d’installation du fournisseur
Étape 1 : connecter la plateforme CTERA à Syslog
Configurer votre connexion Syslog du portail CTERA et votre connecteur Syslog Edge-Filer
Étape 2 : installer l’agent Azure Monitor (AMA) sur le serveur Syslog
Installez l’agent Azure Monitor (AMA) sur votre serveur Syslog pour activer la collecte de données.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.