Dela via

Netclean ProActive Incidents-anslutningsprogram för Microsoft Sentinel

  • Artikel

Den här anslutningsappen använder Netclean Webhook (krävs) och Logic Apps för att skicka data till Microsoft Sentinel Log Analytics

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslutningsattribut

Anslutningsattribut beskrivning
Log Analytics-tabeller Netclean_Incidents_CL
Stöd för regler för datainsamling Stöds för närvarande inte
Stöds av NetClean

Exempel på frågor

Netclean – alla aktiviteter.

Netclean_Incidents_CL 
| sort by TimeGenerated desc

Installationsanvisningar för leverantör

Kommentar

Dataanslutningen förlitar sig på att Azure Logic Apps tar emot och skickar data till Log Analytics. Detta kan leda till ytterligare kostnader för datainmatning. Det går att testa detta utan Logic Apps eller NetClean Proactive se alternativ 2

Alternativ 1: Distribuera logikapp (kräver NetClean Proactive)

  1. Ladda ned och installera logikappen här: https://portal.azure.com/#create/netcleantechnologiesab1651557549734.netcleanlogicappnetcleanproactivelogicapp)
  2. Gå till den nyligen skapade logikappen I logikappdesignern klickar du på +Nytt steg och söker efter "Azure Log Analytics Data Collector" och väljer "Skicka data"
    Ange det anpassade loggnamnet: Netclean_Incidents och ett dummy-värde i Json-begärandetexten och klicka på Spara Gå till kodvyn i det övre menyfliksområdet och rulla ned till rad ~100 det ska börja med "Brödtext"
    ersätt raden helt med:

"body": "{\n"Hostname":"@{variables('machineName')}",\n"agentType":"@{triggerBody()['value']['agent']['type']}",\n"Identifier":"@{triggerBody()?[' key']? ['identifier']}",\n"type":"@{triggerBody()?[' key']? ['type']}",\n"version":"@{triggerBody()?[' värde']? ['incidentVersion']}",\n"foundTime":"@{triggerBody()?[' värde']? ['foundTime']}",\n"detectionMethod":"@{triggerBody()?[' värde']? ['detectionHashType']}",\n"agentInformatonIdentifier":"@{triggerBody()?[' värde']? ['enhet']? ['identifier']}",\n"osVersion":"@{triggerBody()?[' värde']? ['enhet']? ['operatingSystemVersion']}",\n"machineName":"@{variables('machineName')}",\n"microsoftCultureId":"@{triggerBody()?[' värde']? ['enhet']? ['microsoftCultureId']}",\n"timeZoneId":"@{triggerBody()?[' värde']? ['enhet']? ['timeZoneName']}",\n"microsoftGeoId":"@{triggerBody()?[' värde']? ['enhet']? ['microsoftGeoId']}",\n"domännamn":"@{variables('domain')}",\n"Agentversion":"@{triggerBody()['value']['agent']['version']}",\n"Agentidentifier":"@{triggerBody()['value']['identifier']}",\n"loggedOnUsers":"@{variables('Usernames')}",\n"size":"@{triggerBody()?[' värde']? ['file']? ['size']}",\n"creationTime":"@{triggerBody()?[' värde']? ['file']? ['creationTime']}",\n"lastAccessTime":"@{triggerBody()?[' värde']? ['file']? ['lastAccessTime']}",\n"lastWriteTime":"@{triggerBody()?[' värde']? ['file']? ['lastModifiedTime']}",\n"sha1":"@{triggerBody()?[' värde']? ['file']? ['calculatedHashes']? ['sha1']}",\n"nearbyFiles_sha1":"@{variables('nearbyFiles_sha1s')}",\n"externalIP":"@{triggerBody()?[' värde']? ['enhet']? ['resolvedExternalIp']}",\n"domain":"@{variables('domain')}",\n"hasCollectedNearbyFiles":"@{variables('hasCollectedNearbyFiles')}",\n"filePath":"@{replace(triggerBody()['value']['file']['path'], '\', '\\')}",\n"m365WebUrl":"@{triggerBody()?[' värde']? ['file']? ['microsoft365']? ['webUrl']}",\n"m365CreatedBymail":"@{triggerBody()?[' värde']? ['file']? ['createdBy']? ['graphIdentity']? ['användare']? ['mail']}",\n"m365LastModifiedByMail":"@{triggerBody()?[' värde']? ['file']? ['lastModifiedBy']? ['graphIdentity']? ['användare']? ['mail']}",\n"m365LibraryId":"@{triggerBody()?[' värde']? ['file']? ['microsoft365']? ['bibliotek']? ['id']}",\n"m365LibraryDisplayName":"@{triggerBody()?[' värde']? ['file']? ['microsoft365']? ['bibliotek']? ['displayName']}",\n"m365Librarytype":"@{triggerBody()?[' värde']? ['file']? ['microsoft365']? ['bibliotek']? ['type']}",\n"m365siteid":"@{triggerBody()?[' värde']? ['file']? ['microsoft365']? ['site']? ['id']}",\n"m365sitedisplayName":"@{triggerBody()?[' värde']? ['file']? ['microsoft365']? ['site']? ['displayName']}",\n"m365sitename":"@{triggerBody()?[' värde']? ['file']? ['microsoft365']? ['överordnad']? ['name']}",\n"countOfAllNearByFiles":"@{variables('countOfAllNearByFiles')}",\n\n}",
klicka på Spara
3. Kopiera HTTP POST URL 4. Gå till NetClean ProActive-webbkonsolen och gå till inställningar. Under Webhook konfigurerar du en ny webhook med hjälp av url:en som kopierats från steg 3 5. Verifiera funktionen genom att utlösa en demoincident.

Alternativ 2 (endast testning)

Mata in data med hjälp av en API-funktion. Använd skriptet som finns i Skicka loggdata till Azure Monitor med hjälp av HTTP Data Collector-API:et
Ersätt värdena CustomerId och SharedKey med dina värden Ersätt innehållet i $json variabel till exempeldata. Ange LogType-variabeln till Netclean_Incidents_CL Kör skriptet

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.