CTERA Syslog-anslutningsprogram för Microsoft Sentinel
CTERA Data Connector för Microsoft Sentinel erbjuder funktioner för övervakning och hotidentifiering för din CTERA-lösning. Den innehåller en arbetsbok som visualiserar summan av alla åtgärder per typ, borttagningar och åtgärder för nekad åtkomst. Det innehåller också analysregler som identifierar utpressningstrojanincidenter och varnar dig när en användare blockeras på grund av misstänkt utpressningstrojanaktivitet. Dessutom hjälper det dig att identifiera kritiska mönster, till exempel nekad massåtkomst, massborttagningar och ändringar av massbehörighet, vilket möjliggör proaktiv hothantering och svar.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslutningsattribut
| Anslutningsattribut | beskrivning |
|---|---|
| Log Analytics-tabeller | Syslog |
| Stöd för regler för datainsamling | DcR för arbetsytetransformering |
| Stöds av | CTERA |
Exempel på frågor
Fråga för att hitta alla nekade åtgärder.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where Permission matches regex @"(?i).*denied.*"
| summarize Count = count() by Permission
Fråga för att hitta alla borttagningsåtgärder.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where Permission == "op=delete"
| summarize Count = count() by Permission
Fråga för att sammanfatta åtgärder per användare.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| summarize Count = count() by UserName, Permission
Fråga för att sammanfatta åtgärder av en portalklientorganisation.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| summarize Count = count() by TenantName, Permission
Fråga för att hitta åtgärder som utförs av en viss användare.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where UserName == 'user=specific_user'
| summarize Count = count() by Permission
Installationsanvisningar för leverantör
Steg 1: Ansluta CTERA-plattformen till Syslog
Konfigurera ctera-portalens syslog-anslutning och Edge-Filer Syslog-anslutningsprogram
Steg 2: Installera Azure Monitor Agent (AMA) på Syslog Server
Installera Azure Monitor Agent (AMA) på syslog-servern för att aktivera datainsamling.
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.