Microsoft Sentinel 用 CTERA Syslog コネクタ
CTERA Data Connector for Microsoft Sentinel は、CTERA ソリューションの監視と脅威検出機能を提供します。 これには、種類、削除、拒否されたアクセス操作ごとのすべての操作の合計を視覚化するブックが含まれています。 また、ランサムウェア インシデントを検出し、疑わしいランサムウェア アクティビティのためにユーザーがブロックされたときにアラートを生成する分析ルールも提供します。 さらに、大量アクセス拒否イベント、大量削除、大量のアクセス許可の変更などの重要なパターンを特定し、プロアクティブな脅威の管理と対応を可能にします。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | syslog |
| データ収集ルールのサポート | ワークスペース変換 DCR |
| サポートしているもの | CTERA |
クエリのサンプル
クエリを実行して、拒否されたすべての操作を検索します。
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where Permission matches regex @"(?i).*denied.*"
| summarize Count = count() by Permission
クエリを実行して、すべての削除操作を検索します。
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where Permission == "op=delete"
| summarize Count = count() by Permission
クエリを実行してユーザー別の操作を集計します。
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| summarize Count = count() by UserName, Permission
クエリをかけてポータル テナントによる操作を集計します。
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| summarize Count = count() by TenantName, Permission
クエリを実行して、特定のユーザーによって実行された操作を検索します。
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where UserName == 'user=specific_user'
| summarize Count = count() by Permission
ベンダーのインストール手順
手順 1: CTERA プラットフォームを Syslog に接続する
CTERA ポータルの Syslog 接続と Edge-Filer Syslog コネクタを設定する
手順 2: Syslog サーバーに Azure Monitor エージェント (AMA) をインストールする
データ収集を有効にするには、Syslog サーバーに Azure Monitor エージェント (AMA) をインストールします。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。