Łącznik Netclean ProActive Incidents dla usługi Microsoft Sentinel
Ten łącznik używa elementu webhook Netclean (wymagane) i usługi Logic Apps do wypychania danych do usługi Log Analytics usługi Microsoft Sentinel
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
Atrybuty łącznika
Atrybut łącznika | opis |
---|---|
Tabele usługi Log Analytics | Netclean_Incidents_CL |
Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
Obsługiwane przez | NetClean |
Przykłady zapytań
Netclean — wszystkie działania.
Netclean_Incidents_CL
| sort by TimeGenerated desc
Instrukcje instalacji dostawcy
Uwaga
Łącznik danych opiera się na usłudze Azure Logic Apps w celu odbierania i wypychania danych do usługi Log Analytics. Może to spowodować dodatkowe koszty pozyskiwania danych. Można to przetestować bez usługi Logic Apps lub NetClean Proaktywne zobacz opcję 2
Opcja 1. Wdrażanie aplikacji logiki (wymaga proaktywnego netClean)
- Pobierz i zainstaluj aplikację logiki tutaj: https://portal.azure.com/#create/netcleantechnologiesab1651557549734.netcleanlogicappnetcleanproactivelogicapp)
- Przejdź do nowo utworzonej aplikacji logiki W projektancie aplikacji logiki kliknij pozycję +Nowy krok i wyszukaj pozycję "Moduł zbierający dane usługi Azure Log Analytics" kliknij go i wybierz pozycję "Wyślij dane"
Wprowadź niestandardową nazwę dziennika: Netclean_Incidents i fikcyjną wartość w treści żądania Json, a następnie kliknij pozycję Zapisz widok kodu na górnej wstążce i przewiń w dół do wiersza ~100, który powinien zaczynać się od "Treść"
zastąp wiersz w całości:
"body": "{\n"Hostname":"@{variables('machineName')}",\n"agentType":"@{triggerBody()['value']['agent']['type']}",\n"Identifier":"@{triggerBody()?[' key']? ['identifier']}",\n"type":"@{triggerBody()?[' key']? ['type']}",\n"version":"@{triggerBody()?[' wartość']? ['incidentVersion']}",\n"foundTime":"@{triggerBody()?[' wartość']? ['foundTime']}",\n"detectionMethod":"@{triggerBody()?[' wartość']? ['detectionHashType']}",\n"agentInformatonIdentifier":"@{triggerBody()?[' wartość']? ['urządzenie']? ['identifier']}",\n"osVersion":"@{triggerBody()?[' wartość']? ['urządzenie']? ['operatingSystemVersion']}",\n"machineName":"@{variables('machineName')}",\n"microsoftCultureId":"@{triggerBody()?[' wartość']? ['urządzenie']? ['microsoftCultureId']}",\n"timeZoneId":"@{triggerBody()?[' wartość']? ['urządzenie']? ['timeZoneName']}",\n"microsoftGeoId":"@{triggerBody()?[' wartość']? ['urządzenie']? ['microsoftGeoId']}",\n"domainname":"@{variables('domain')}",\n"Agentversion":"@{triggerBody()['value']['agent']['version']}",\n"" Agentidentifier":"@{triggerBody()['value']['identifier']}",\n"loggedOnUsers":"@{variables('Usernames')}",\n"size":"@{triggerBody()?[' wartość']? ['file']? ['size']}",\n"creationTime":"@{triggerBody()?[' wartość']? ['file']? ['creationTime']}",\n"lastAccessTime":"@{triggerBody()?[' wartość']? ['file']? ['lastAccessTime']}",\n"lastWriteTime":"@{triggerBody()?[' wartość']? ['file']? ['lastModifiedTime']}",\n"sha1":"@{triggerBody()?[' wartość']? ['file']? ['calculatedHashes']? ['sha1']}",\n"nearbyFiles_sha1":"@{variables('nearbyFiles_sha1s')}",\n"externalIP":"@{triggerBody()?[' wartość']? ['urządzenie']? ['resolvedExternalIp']}",\n"domain":"@{variables('domain')}",\n"hasCollectedNearbyFiles":"@{variables('hasCollectedNearbyFiles')}",\n"filePath":"@{replace(triggerBody()['value']['file']['path'], '\', '\')}",\n"m365WebUrl":"@{triggerBody()?[" wartość']? ['file']? ['microsoft365']? ['webUrl']}",\n"m365CreatedBymail":"@{triggerBody()?[' wartość']? ['file']? ['createdBy']? ['graphIdentity']? ['user']? ['mail']}",\n"m365LastModifiedByMail":"@{triggerBody()?[' wartość']? ['file']? ['lastModifiedBy']? ['graphIdentity']? ['user']? ['mail']}",\n"m365LibraryId":"@{triggerBody()?[' wartość']? ['file']? ['microsoft365']? ['biblioteka']? ['id']}",\n"m365LibraryDisplayName":"@{triggerBody()?[' wartość']? ['file']? ['microsoft365']? ['biblioteka']? ['displayName']}",\n"m365Librarytype":"@{triggerBody()?[' wartość']? ['file']? ['microsoft365']? ['biblioteka']? ['type']}",\n"m365siteid":"@{triggerBody()?[' wartość']? ['file']? ['microsoft365']? ['site']? ['id']}",\n"m365sitedisplayName":"@{triggerBody()?[' wartość']? ['file']? ['microsoft365']? ['site']? ['displayName']}",\n"m365sitename":"@{triggerBody()?[' wartość']? ['file']? ['microsoft365']? ['parent']? ['name']}",\n"countOfAllNearByFiles":"@{variables('countOfAllNearByFiles')}",\n\n}",
kliknij przycisk Zapisz
3. Skopiuj adres URL POST PROTOKOŁU HTTP 4. Przejdź do konsoli sieci Web NetClean ProActive i przejdź do ustawień w obszarze Element webhook skonfiguruj nowy element webhook przy użyciu adresu URL skopiowanego z kroku 3 5. Zweryfikuj funkcjonalność, wyzwalając zdarzenie demonstracyjne.
Opcja 2 (tylko testowanie)
Pozyskiwanie danych przy użyciu funkcji interfejsu API. Użyj skryptu znalezionego w artykule Wysyłanie danych dziennika do usługi Azure Monitor przy użyciu interfejsu API modułu zbierającego dane HTTP
Zastąp wartości CustomerId i SharedKey wartościami Zastąp zawartość w zmiennej $json przykładowymi danymi.
Ustaw zmienną LogType na Netclean_Incidents_CL Uruchom skrypt
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.