Microsoft Sentinel 用 NC Protect コネクタ
NC Protect データ コネクタ (archtis.com) には、ユーザー アクティビティ ログとイベントを Microsoft Sentinel に取り込む機能が用意されています。 コネクタを使用すると、Microsoft Sentinel で NC Protect のユーザー アクティビティ ログとイベントを可視化し、監視と調査の機能を向上させることができます
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | NCProtectUAL_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | archTIS |
クエリのサンプル
過去 7 日間のレコードを取得する
NCProtectUAL_CL
| where TimeGenerated > ago(7d)
| order by TimeGenerated desc
ユーザーによるログインが 1 時間に 3 回以上連続して失敗しました
NCProtectUAL_CL
| where TimeGenerated > ago(1h) and Type_s == 'LoginFailure'
| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s
| where FailedRequestCount > 3
ユーザーによるダウンロードが 1 時間に 3 回以上連続して失敗しました
NCProtectUAL_CL
| where TimeGenerated > ago(1h) and Type_s == 'Open' and Status_s == 'Fail'
| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s, DocumentUrl_s
| where FailedRequestCount > 3
過去 7 日間におけるルールの作成、変更、削除に関するレコードのログを取得する
NCProtectUAL_CL
| where TimeGenerated > ago(7d) and (Type_s == 'Create' or Type_s == 'Modify' or Type_s == 'Delete') and isnotempty(RuleName_s)
| order by TimeGenerated desc
前提条件
NC Protect と統合するには、次があることを確認します。
- NC Protect: NC Protect for O365 の実行中のインスタンスが存在する必要があります。 お問い合わせください。
ベンダーのインストール手順
- Azure テナントに NC Protect をインストールします
- NC Protect の管理サイトにログインします
- 左側のナビゲーション メニューで、[General] -> [User Activity Monitoring] を選択します
- [Enable SIEM] チェック ボックスをオンにし、[Configure] ボタンをクリックします
- アプリケーションとして [Microsoft Sentinel] を選択し、以下の情報を使用して構成を完了します
- [Save] をクリックして接続をアクティブにします
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。