Łącznik dziennika systemowego CTERA dla usługi Microsoft Sentinel
Łącznik danych CTERA dla usługi Microsoft Sentinel oferuje funkcje monitorowania i wykrywania zagrożeń dla rozwiązania CTERA. Zawiera skoroszyt wizualizujący sumę wszystkich operacji na typ, usunięcia i operacje odmowy dostępu. Udostępnia również reguły analityczne, które wykrywają zdarzenia oprogramowania wymuszającego okup i ostrzegają użytkownika, gdy użytkownik jest zablokowany z powodu podejrzanej aktywności oprogramowania wymuszającego okup. Ponadto ułatwia identyfikowanie wzorców krytycznych, takich jak zdarzenia odmowy dostępu masowego, masowe usuwanie i masowe zmiany uprawnień, włączanie proaktywnego zarządzania zagrożeniami i reagowania na nie.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
Atrybuty łącznika
| Atrybut łącznika | opis |
|---|---|
| Tabele usługi Log Analytics | Dziennik systemu |
| Obsługa reguł zbierania danych | Przekształcanie obszaru roboczego DCR |
| Obsługiwane przez | CTERA |
Przykłady zapytań
Kwerenda w celu znalezienia wszystkich odrzuconych operacji.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where Permission matches regex @"(?i).*denied.*"
| summarize Count = count() by Permission
Wykonaj zapytanie w celu znalezienia wszystkich operacji usuwania.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where Permission == "op=delete"
| summarize Count = count() by Permission
Wykonywanie zapytania w celu podsumowania operacji według użytkownika.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| summarize Count = count() by UserName, Permission
Wykonywanie zapytań dotyczących podsumowania operacji według dzierżawy portalu.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| summarize Count = count() by TenantName, Permission
Wykonywanie zapytania w celu znalezienia operacji wykonywanych przez określonego użytkownika.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where UserName == 'user=specific_user'
| summarize Count = count() by Permission
Instrukcje instalacji dostawcy
Krok 1. Łączenie platformy CTERA z usługą Syslog
Konfigurowanie połączenia dziennika syslog portalu CTERA i łącznika syslog edge-Filer
Krok 2. Instalowanie agenta usługi Azure Monitor (AMA) na serwerze Syslog
Zainstaluj agenta usługi Azure Monitor (AMA) na serwerze syslog, aby włączyć zbieranie danych.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.