適用於 Microsoft Sentinel 的 NC 保護連接器
NC 保護數據 連線 or (archtis.com) 提供將用戶活動記錄和事件內嵌至 Microsoft Sentinel 的功能。 連接器可讓您查看 NC 保護 Microsoft Sentinel 中的使用者活動記錄和事件,以改善監視和調查功能
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
| 連線 or 屬性 | 描述 |
|---|---|
| Log Analytics 數據表(s) | NCProtectUAL_CL |
| 數據收集規則支援 | 目前不支援 |
| 支援者: | archTIS |
查詢範例
取得過去 7 天記錄
NCProtectUAL_CL
| where TimeGenerated > ago(7d)
| order by TimeGenerated desc
用戶一小時內連續登入失敗 3 次以上
NCProtectUAL_CL
| where TimeGenerated > ago(1h) and Type_s == 'LoginFailure'
| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s
| where FailedRequestCount > 3
用戶一小時內連續下載失敗 3 次以上
NCProtectUAL_CL
| where TimeGenerated > ago(1h) and Type_s == 'Open' and Status_s == 'Fail'
| summarize FailedRequestCount = count() by bin(TimeGenerated, 1h), UserDisplayName_s, UserEmail_s, UserLoginName_s, Type_s, JSONExtra_s, DocumentUrl_s
| where FailedRequestCount > 3
取得過去 7 天內建立或修改或刪除記錄的規則記錄
NCProtectUAL_CL
| where TimeGenerated > ago(7d) and (Type_s == 'Create' or Type_s == 'Modify' or Type_s == 'Delete') and isnotempty(RuleName_s)
| order by TimeGenerated desc
必要條件
若要與 NC Protect 整合,請確定您有:
- NC 保護:您必須有適用於 O365 的 NC Protect 執行實例。 請 與我們連絡。
廠商安裝指示
- 將 NC 保護安裝到您的 Azure 租用
- 登入 NC Protect 管理員 istration 網站
- 從左側導覽功能表中,選取 [一般 -> 使用者活動監視]
- 勾選複選框以啟用 SIEM,然後按下 [設定] 按鈕
- 選取 [Microsoft Sentinel] 作為 [應用程式],並使用下列資訊完成設定
- 按兩下 [儲存] 以啟動連線
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。