CTERA Syslog-connector voor Microsoft Sentinel
De CTERA-gegevensconnector voor Microsoft Sentinel biedt mogelijkheden voor bewaking en detectie van bedreigingen voor uw CTERA-oplossing. Het bevat een werkmap waarin de som van alle bewerkingen per type, verwijderingen en geweigerde toegangsbewerkingen wordt weergegeven. Het biedt ook analytische regels die ransomware-incidenten detecteren en u waarschuwen wanneer een gebruiker wordt geblokkeerd vanwege verdachte ransomware-activiteit. Daarnaast kunt u hiermee kritieke patronen identificeren, zoals gebeurtenissen die zijn geweigerd voor massatoegang, massaverwijderingen en wijzigingen in massamachtigingen, waardoor proactief bedreigingsbeheer en reactie mogelijk is.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Connectorkenmerken
| Kenmerk connector | Beschrijving |
|---|---|
| Log Analytics-tabellen | Syslog |
| Ondersteuning voor regels voor gegevensverzameling | DCR voor werkruimtetransformatie |
| Ondersteund door | CTERA |
Voorbeelden van query's
Voer een query uit om alle geweigerde bewerkingen te vinden.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where Permission matches regex @"(?i).*denied.*"
| summarize Count = count() by Permission
Voer een query uit om alle verwijderbewerkingen te vinden.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where Permission == "op=delete"
| summarize Count = count() by Permission
Voer een query uit om bewerkingen per gebruiker samen te vatten.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| summarize Count = count() by UserName, Permission
Query uitvoeren om bewerkingen samen te vatten door een portaltenant.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| summarize Count = count() by TenantName, Permission
Voer een query uit om bewerkingen te vinden die door een specifieke gebruiker worden uitgevoerd.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where UserName == 'user=specific_user'
| summarize Count = count() by Permission
Installatie-instructies van leverancier
Stap 1: CTERA-platform verbinden met Syslog
Uw CTERA-portal syslog-verbinding en Edge-Filer Syslog-connector instellen
Stap 2: Azure Monitor Agent (AMA) installeren op Syslog Server
Installeer de Azure Monitor-agent (AMA) op uw syslog-server om gegevensverzameling in te schakelen.
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.