共用方式為

適用於Microsoft Sentinel 的 CTERA Syslog 連接器

  • 發行項

適用於 Microsoft Sentinel 的 CTERA 資料連接器提供 CTERA 解決方案的監視和威脅偵測功能。 其中包含一個活頁簿,可可視化每個類型、刪除和拒絕存取作業的所有作業總和。 它也提供分析規則,可偵測勒索軟體事件,並在因可疑勒索軟體活動而封鎖用戶時發出警示。 此外,它可協助您識別重要模式,例如大量存取遭拒事件、大規模刪除,以及大規模許可權變更,進而啟用主動式威脅管理和回應。

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連接器屬性

連接器屬性 描述
記錄分析資料表 Syslog
資料收集規則支援 工作區轉換 DCR
支援者: CTERA

查詢範例

查詢以尋找所有拒絕的作業。

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| where Permission matches regex @"(?i).*denied.*"

| summarize Count = count() by Permission

查詢以尋找所有刪除作業。

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| where Permission == "op=delete"

| summarize Count = count() by Permission

查詢以摘要用戶作業。

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| summarize Count = count() by UserName, Permission

查詢以摘要入口網站租用戶的作業。

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| summarize Count = count() by TenantName, Permission

查詢以尋找特定使用者所執行的作業。

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| where UserName == 'user=specific_user'

| summarize Count = count() by Permission

廠商安裝指示

步驟 1:將 CTERA 平台連線至 Syslog

設定 CTERA 入口網站 syslog 連線和 Edge-Filer Syslog 連接器

步驟 2:在 Syslog 伺服器上安裝 Azure 監視器代理程式 (AMA)

在您的 syslog 伺服器上安裝 Azure 監視器代理程式 (AMA),以啟用資料收集。

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。