Partilhar via

Conector CTERA Syslog para Microsoft Sentinel

  • Artigo

O CTERA Data Connector for Microsoft Sentinel oferece recursos de monitoramento e deteção de ameaças para sua solução CTERA. Ele inclui uma pasta de trabalho visualizando a soma de todas as operações por tipo, exclusões e operações de acesso negado. Também fornece regras analíticas que detetam incidentes de ransomware e alertam-no quando um utilizador é bloqueado devido a atividade suspeita de ransomware. Além disso, ele ajuda a identificar padrões críticos, como eventos de acesso em massa negados, exclusões em massa e alterações de permissão em massa, permitindo o gerenciamento e a resposta proativos a ameaças.

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics Syslog
Suporte a regras de coleta de dados Transformar DCR no espaço de trabalho
Apoiado por CTERA

Exemplos de consulta

Consulta para localizar todas as operações negadas.

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| where Permission matches regex @"(?i).*denied.*"

| summarize Count = count() by Permission

Consulta para localizar todas as operações de exclusão.

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| where Permission == "op=delete"

| summarize Count = count() by Permission

Consulta para resumir operações por usuário.

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| summarize Count = count() by UserName, Permission

Consulta para resumir operações por um locatário do portal.

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| summarize Count = count() by TenantName, Permission

Consulta para localizar operações executadas por um usuário específico.

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| where UserName == 'user=specific_user'

| summarize Count = count() by Permission

Instruções de instalação do fornecedor

Etapa 1: Conectar a plataforma CTERA ao Syslog

Configure sua conexão syslog do portal CTERA e o conector Edge-Filer Syslog

Etapa 2: Instalar o Azure Monitor Agent (AMA) no Syslog Server

Instale o Azure Monitor Agent (AMA) em seu servidor syslog para habilitar a coleta de dados.

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.