Conector CTERA Syslog para Microsoft Sentinel
O CTERA Data Connector para Microsoft Sentinel oferece recursos de monitoramento e detecção de ameaças para sua solução CTERA. Ele inclui uma pasta de trabalho que visualiza a soma de todas as operações por tipo, exclusões e operações de acesso negado. Ele também fornece regras analíticas que detectam incidentes de ransomware e alertam você quando um usuário é bloqueado devido a atividades suspeitas de ransomware. Além disso, ele ajuda você a identificar padrões críticos, como eventos de acesso negado em massa, exclusões em massa e alterações de permissão em massa, permitindo o gerenciamento e a resposta proativos a ameaças.
Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | syslog |
| Suporte às regras de coleta de dados | DCR de transformação do espaço de trabalho |
| Com suporte por | CTERA |
Exemplos de consulta
Consulte para localizar todas as operações negadas.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where Permission matches regex @"(?i).*denied.*"
| summarize Count = count() by Permission
Consulte para localizar todas as operações de exclusão.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where Permission == "op=delete"
| summarize Count = count() by Permission
Consulte para resumir as operações por usuário.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| summarize Count = count() by UserName, Permission
Consulte para resumir as operações por um locatário do portal.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| summarize Count = count() by TenantName, Permission
Consulte para localizar operações executadas por um usuário específico.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where UserName == 'user=specific_user'
| summarize Count = count() by Permission
Instruções de instalação do fornecedor
Etapa 1: Conectar a Plataforma CTERA ao Syslog
Configure sua conexão syslog do portal CTERA e o conector Syslog do Edge-Filer
Etapa 2: Instalar o AMA (Agente do Azure Monitor) no Syslog Server
Instale o AMA (Agente do Azure Monitor) em seu servidor syslog para habilitar a coleta de dados.
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.