Connettore Syslog CTERA per Microsoft Sentinel
CTERA Data Connector per Microsoft Sentinel offre funzionalità di monitoraggio e rilevamento delle minacce per la soluzione CTERA. Include una cartella di lavoro che visualizza la somma di tutte le operazioni per tipo, eliminazioni e operazioni di accesso negato. Fornisce inoltre regole analitiche che rilevano eventi ransomware e avvisano quando un utente viene bloccato a causa di attività ransomware sospette. Inoltre, consente di identificare modelli critici come eventi di accesso di massa negato, eliminazioni di massa e modifiche alle autorizzazioni di massa, abilitando la gestione proattiva delle minacce e la risposta.
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
| Attributo connettore | Descrizione |
|---|---|
| Tabelle Log Analytics | Syslog |
| Supporto regole di raccolta dati | Trasformazione area di lavoro DCR |
| Supportata da: | CTERA |
Esempi di query
Eseguire una query per trovare tutte le operazioni negate.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where Permission matches regex @"(?i).*denied.*"
| summarize Count = count() by Permission
Eseguire una query per trovare tutte le operazioni di eliminazione.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where Permission == "op=delete"
| summarize Count = count() by Permission
Eseguire una query per riepilogare le operazioni in base all'utente.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| summarize Count = count() by UserName, Permission
Eseguire una query per riepilogare le operazioni da parte di un tenant del portale.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| summarize Count = count() by TenantName, Permission
Eseguire una query per trovare le operazioni eseguite da un utente specifico.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where UserName == 'user=specific_user'
| summarize Count = count() by Permission
Istruzioni per l’installazione di Vendor
Passaggio 1: Connettere la piattaforma CTERA a Syslog
Configurare la connessione syslog del portale CTERA e il connettore Syslog edge-Filer
Passaggio 2: Installare l'agente di Monitoraggio di Azure (AMA) nel server Syslog
Installare l'agente di Monitoraggio di Azure nel server syslog per abilitare la raccolta dati.
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.