Dela via

NC Protect-anslutningsprogram för Microsoft Sentinel

  • Artikel

NC Protect Data Anslut or (archtis.com) ger möjlighet att mata in användaraktivitetsloggar och händelser i Microsoft Sentinel. Anslutningsappen ger insyn i NC Protect-användaraktivitetsloggar och -händelser i Microsoft Sentinel för att förbättra övervaknings- och undersökningsfunktionerna

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslut ellerattribut

Anslut ellerattribut beskrivning
Log Analytics-tabeller NCProtectUAL_CL
Stöd för regler för datainsamling Stöds för närvarande inte
Stöds av archTIS

Exempel på frågor

Hämta poster för de senaste 7 dagarna


NCProtectUAL_CL

| where TimeGenerated > ago(7d)

| order by TimeGenerated desc

Inloggningen misslyckades i följd i mer än 3 gånger på en timme av användaren


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'LoginFailure'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s

| where  FailedRequestCount > 3

Nedladdningen misslyckades i följd i mer än 3 gånger på en timme av användaren


NCProtectUAL_CL

| where TimeGenerated > ago(1h) and Type_s == 'Open' and Status_s == 'Fail'

| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s, DocumentUrl_s

| where  FailedRequestCount > 3

Hämta loggar för regel som skapats eller ändrats eller tagits bort under de senaste 7 dagarna


NCProtectUAL_CL

| where TimeGenerated > ago(7d) and (Type_s == 'Create' or Type_s == 'Modify' or Type_s == 'Delete') and isnotempty(RuleName_s)

| order by TimeGenerated desc

Förutsättningar

Om du vill integrera med NC Protect kontrollerar du att du har:

  • NC Protect: Du måste ha en instans av NC Protect för O365. Kontakta oss.

Installationsanvisningar för leverantör

  1. Installera NC Protect i din Azure Tenancy
  2. Logga in på NC Protect Administration-webbplatsen
  3. I den vänstra navigeringsmenyn väljer du Allmänt –> Övervakning av användaraktivitet
  4. Markera kryssrutan för att aktivera SIEM och klicka på knappen Konfigurera
  5. Välj Microsoft Sentinel som program och slutför konfigurationen med hjälp av informationen nedan
  6. Klicka på Spara för att aktivera anslutningen

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.