Microsoft Sentinel 用 Netclean ProActive Incidents コネクタ
このコネクタは、Netclean Webhook (必須) と Logic Apps を使用して、Microsoft Sentinel Log Analytics にデータをプッシュします
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
コネクタ属性 | 説明 |
---|---|
Log Analytics テーブル | Netclean_Incidents_CL |
データ収集ルールのサポート | 現在、サポートされていません |
サポートしているもの | NetClean |
クエリのサンプル
Netclean - すべてのアクティビティ。
Netclean_Incidents_CL
| sort by TimeGenerated desc
ベンダーのインストール手順
注意
データ コネクタは、データの受信と Log Analytics へのプッシュを Azure Logic Apps の機能によって実現しています。これにより、追加のデータ インジェスト コストが発生する可能性があります。 Logic Apps や NetClean Proactive を使用せずにこれをテストすることは可能です (オプション 2 を参照)
オプション 1: Logic アプリをデプロイする (NetClean Proactive が必要)
- Logic アプリをこちらでダウンロードし、インストールします: https://portal.azure.com/#create/netcleantechnologiesab1651557549734.netcleanlogicappnetcleanproactivelogicapp)
- 新しく作成した Logic アプリに移動します。Logic アプリ デザイナーで、[+ 新しいステップ] をクリックし、"Azure Log Analytics Data Collector" を検索してクリックし、[データの送信] を選択します
JSON 要求本文に、カスタム ログ名: Netclean_Incidents とダミーの値を入力し、[保存] をクリックします。上部のリボンで [コード ビューに移動] をクリックし、100 行目付近の、行頭が "Body" で始まる箇所まで下にスクロールします
行全体を次のように置き換えます。
"body": "{\n"Hostname":"@{variables('machineName')}",\n"agentType":"@{triggerBody()['value']['agent']['type']}",\n"Identifier":"@{triggerBody()?['key']?['identifier']}",\n"type":"@{triggerBody()?['key']?['type']}",\n"version":"@{triggerBody()?['value']?['incidentVersion']}",\n"foundTime":"@{triggerBody()?['value']?['foundTime']}",\n"detectionMethod":"@{triggerBody()?['value']?['detectionHashType']}",\n"agentInformatonIdentifier":"@{triggerBody()?['value']?['device']?['identifier']}",\n"osVersion":"@{triggerBody()?['value']?['device']?['operatingSystemVersion']}",\n"machineName":"@{variables('machineName')}",\n"microsoftCultureId":"@{triggerBody()?['value']?['device']?['microsoftCultureId']}",\n"timeZoneId":"@{triggerBody()?['value']?['device']?['timeZoneName']}",\n"microsoftGeoId":"@{triggerBody()?['value']?['device']?['microsoftGeoId']}",\n"domainname":"@{variables('domain')}",\n"Agentversion":"@{triggerBody()['value']['agent']['version']}",\n"Agentidentifier":"@{triggerBody()['value']['identifier']}",\n"loggedOnUsers":"@{variables('Usernames')}",\n"size":"@{triggerBody()?['value']?['file']?['size']}",\n"creationTime":"@{triggerBody()?['value']?['file']?['creationTime']}",\n"lastAccessTime":"@{triggerBody()?['value']?['file']?['lastAccessTime']}",\n"lastWriteTime":"@{triggerBody()?['value']?['file']?['lastModifiedTime']}",\n"sha1":"@{triggerBody()?['value']?['file']?['calculatedHashes']?['sha1']}",\n"nearbyFiles_sha1":"@{variables('nearbyFiles_sha1s')}",\n"externalIP":"@{triggerBody()?['value']?['device']?['resolvedExternalIp']}",\n"domain":"@{variables('domain')}",\n"hasCollectedNearbyFiles":"@{variables('hasCollectedNearbyFiles')}",\n"filePath":"@{replace(triggerBody()['value']['file']['path'], '\', '\\')}",\n"m365WebUrl":"@{triggerBody()?['value']?['file']?['microsoft365']?['webUrl']}",\n"m365CreatedBymail":"@{triggerBody()?['value']?['file']?['createdBy']?['graphIdentity']?['user']?['mail']}",\n"m365LastModifiedByMail":"@{triggerBody()?['value']?['file']?['lastModifiedBy']?['graphIdentity']?['user']?['mail']}",\n"m365LibraryId":"@{triggerBody()?['value']?['file']?['microsoft365']?['library']?['id']}",\n"m365LibraryDisplayName":"@{triggerBody()?['value']?['file']?['microsoft365']?['library']?['displayName']}",\n"m365Librarytype":"@{triggerBody()?['value']?['file']?['microsoft365']?['library']?['type']}",\n"m365siteid":"@{triggerBody()?['value']?['file']?['microsoft365']?['site']?['id']}",\n"m365sitedisplayName":"@{triggerBody()?['value']?['file']?['microsoft365']?['site']?['displayName']}",\n"m365sitename":"@{triggerBody()?['value']?['file']?['microsoft365']?['parent']?['name']}",\n"countOfAllNearByFiles":"@{variables('countOfAllNearByFiles')}",\n\n}",
[保存] をクリックします
3. HTTP POST URL をコピーします。 4. NetClean ProActive Web コンソールにアクセスして、[設定] に移動し、[Webhook] の下に、手順 3 でコピーした URL を使用して新しい Webhook を構成します。 5. デモ用インシデントをトリガーして機能を確認します。
オプション 2 (テストのみ)
API 関数を使用してデータを取り込みます。 「HTTP データ コレクター API を使用して Azure Monitor にログ データを送信する」に記載されているスクリプトを使用します
CustomerId と SharedKey の値を実際の値に置き換えます。$json 変数の内容をサンプル データに置き換えます。
LogType 変数の設定値を Netclean_Incidents_CL にします。スクリプトを実行します
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。