通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的 CTERA Syslog 连接器

  • 项目

用于 Microsoft Sentinel 的 CTERA 数据连接器为 CTERA 解决方案提供监视和威胁检测功能。 它包含一个工作簿,用于可视化每种类型、删除和拒绝访问操作的所有操作的总和。 它还提供分析规则,用于检测勒索软件事件,并在用户因可疑勒索软件活动而被阻止时发出警报。 此外,它还有助于识别关键模式,例如大规模访问被拒绝事件、大规模删除和大规模权限更改,从而启用主动威胁管理和响应。

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
Log Analytics 表 Syslog
数据收集规则支持 工作区转换 DCR
支持的服务 CTERA

查询示例

查询以查找所有被拒绝的操作。

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| where Permission matches regex @"(?i).*denied.*"

| summarize Count = count() by Permission

查询以查找所有删除操作。

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| where Permission == "op=delete"

| summarize Count = count() by Permission

查询以按用户汇总操作。

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| summarize Count = count() by UserName, Permission

查询以汇总门户租户的操作。

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| summarize Count = count() by TenantName, Permission

查询以查找特定用户执行的操作。

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| where UserName == 'user=specific_user'

| summarize Count = count() by Permission

供应商安装说明

步骤 1:将 CTERA 平台连接到 Syslog

设置 CTERA 门户 syslog 连接和 Edge-Filer Syslog 连接器

步骤 2:在 Syslog 服务器上安装 Azure Monitor 代理 (AMA)

在 syslog 服务器上安装 Azure Monitor 代理 (AMA),以启用数据收集。

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案