Condividi tramite

Connettore Nc Protect per Microsoft Sentinel

  • Articolo

NC Protect Data Connector (archtis.com) offre la possibilità di inserire i log attività utente e gli eventi in Microsoft Sentinel. Il connettore offre visibilità su NC Protect user activity logs and events in Microsoft Sentinel per migliorare le funzionalità di monitoraggio e analisi

Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.

Attributi connettore

Attributo connettore Descrizione
Tabelle Log Analytics NCProtectUAL_CL
Supporto regole di raccolta dati Non è al momento supportato
Supportata da: archTIS

Esempi di query

Ottenere i record degli ultimi 7 giorni


NCProtectUAL_CL

| where TimeGenerated > ago(7d)

| order by TimeGenerated desc

Accesso non riuscito consecutivamente per più di 3 volte in un'ora dall'utente


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'LoginFailure'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s

| where  FailedRequestCount > 3

Download non riuscito consecutivamente per più di 3 volte in un'ora dall'utente


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'Open' and Status_s == 'Fail'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s, DocumentUrl_s

| where  FailedRequestCount > 3

Ottenere i log per la regola creata o modificata o eliminata record negli ultimi 7 giorni


NCProtectUAL_CL

| where TimeGenerated > ago(7d) and (Type_s == 'Create' or Type_s == 'Modify' or Type_s == 'Delete') and isnotempty(RuleName_s)

| order by TimeGenerated desc

Prerequisiti

Per eseguire l'integrazione con NC Protect, assicurarsi di disporre di:

  • Protezione NC: è necessario disporre di un'istanza in esecuzione di PROTEZIONE NC per O365. Contattaci.

Istruzioni per l’installazione di Vendor

  1. Installare NC Protect in Azure Tenancy
  2. Accedere al sito di amministrazione di Protezione controller di rete
  3. Nel menu di spostamento a sinistra selezionare Generale -> Monitoraggio attività utente
  4. Selezionare la casella di controllo Abilita SIEM e fare clic sul pulsante Configura.
  5. Selezionare Microsoft Sentinel come applicazione e completare la configurazione usando le informazioni seguenti
  6. Fare clic su Salva per attivare la connessione

Passaggi successivi

Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.