你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 NC Protect 连接器
NC Protect 数据连接器 (archtis.com) 提供将用户活动日志和事件引入 Microsoft Sentinel 的功能。 该连接器提供对 Microsoft Sentinel 中 NC Protect 用户活动日志和事件的可见性,以提高监视和调查功能
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | NCProtectUAL_CL |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | archTIS |
查询示例
获取过去 7 天的记录
NCProtectUAL_CL
| where TimeGenerated > ago(7d)
| order by TimeGenerated desc
用户在一小时内连续登录失败超过 3 次
NCProtectUAL_CL
| where TimeGenerated > ago(1h) and Type_s == 'LoginFailure'
| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s
| where FailedRequestCount > 3
用户在一小时内连续下载失败超过 3 次
NCProtectUAL_CL
| where TimeGenerated > ago(1h) and Type_s == 'Open' and Status_s == 'Fail'
| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s, DocumentUrl_s
| where FailedRequestCount > 3
为过去 7 天内创建或修改的规则或删除的记录获取日志
NCProtectUAL_CL
| where TimeGenerated > ago(7d) and (Type_s == 'Create' or Type_s == 'Modify' or Type_s == 'Delete') and isnotempty(RuleName_s)
| order by TimeGenerated desc
先决条件
若要与 NC Protect 集成,请确保满足以下条件:
- NC Protect:你必须有一个正在运行的 NC Protect for O365 实例。 请与我们联系。
供应商安装说明
- 将 NC Protect 安装到 Azure 租户中
- 登录到 NC Protect Administration 站点
- 在左侧导航菜单中,选择“常规”->“用户活动监视”
- 勾选“启用 SIEM”复选框,然后单击“配置”按钮
- 选择“Microsoft Sentinel”作为“应用程序”,并使用以下信息完成配置
- 单击“保存”以激活连接
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。