Соединитель syslog CTERA для Microsoft Sentinel
Соединитель данных CTERA для Microsoft Sentinel предлагает возможности мониторинга и обнаружения угроз для решения CTERA. В ней содержится книга, визуализируя сумму всех операций на тип, удаление и запрещенный доступ. Он также предоставляет аналитические правила, которые обнаруживают инциденты программ-шантажистов и оповещают вас о том, что пользователь заблокирован из-за подозрительной активности программ-шантажистов. Кроме того, он помогает определить критически важные шаблоны, такие как массовый доступ к запрещенным событиям, массовым удалениям и изменениям в массовом разрешении, что обеспечивает упреждающее управление угрозами и реагирование.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | Системный журнал |
| Поддержка правил сбора данных | Преобразование DCR рабочей области |
| Поддерживается | CTERA |
Примеры запросов
Запрос для поиска всех запрещенных операций.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where Permission matches regex @"(?i).*denied.*"
| summarize Count = count() by Permission
Запрос для поиска всех операций удаления.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where Permission == "op=delete"
| summarize Count = count() by Permission
Запрос для суммирование операций пользователем.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| summarize Count = count() by UserName, Permission
Запрос для суммирование операций с помощью клиента портала.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| summarize Count = count() by TenantName, Permission
Запрос на поиск операций, выполняемых конкретным пользователем.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where UserName == 'user=specific_user'
| summarize Count = count() by Permission
Инструкции по установке поставщика
Шаг 1. Подключение платформы CTERA к системным журналам
Настройка подключения системного журнала портала CTERA и соединителя Syslog Edge-Filer
Шаг 2. Установка агента Azure Monitor (AMA) на сервере Syslog
Установите агент Azure Monitor (AMA) на сервере системного журнала, чтобы включить сбор данных.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.