CTERA Syslog-Connector für Microsoft Sentinel
Der CTERA-Datenconnector für Microsoft Sentinel bietet Überwachungs- und Bedrohungserkennungsfunktionen für Ihre CTERA-Lösung. Er enthält eine Arbeitsmappe, die die Summe aller Vorgänge pro Typ, Löschvorgänge und Vorgänge mit verweigertem Zugriff visualisiert. Er bietet zudem Analyseregeln, die Ransomware-Vorfälle erkennen und Sie benachrichtigen, wenn Benutzende aufgrund verdächtiger Ransomware-Aktivitäten blockiert werden. Darüber hinaus hilft er Ihnen, kritische Muster wie Massenereignisse vom Typ „Zugriff verweigert“, Massenlöschungen und Massenberechtigungsänderungen zu identifizieren und dadurch proaktives Bedrohungsmanagement und entsprechende Reaktionen zu ermöglichen.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribut | BESCHREIBUNG |
---|---|
Log Analytics-Tabellen | syslog |
Unterstützung für Datensammlungsregeln | Transformations-DCR des Arbeitsbereichs |
Unterstützt von | CTERA |
Abfrage, um alle verweigerten Vorgänge zu ermitteln:
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where Permission matches regex @"(?i).*denied.*"
| summarize Count = count() by Permission
Abfrage, um alle Löschvorgänge zu ermitteln:
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where Permission == "op=delete"
| summarize Count = count() by Permission
Abfrage zum Zusammenfassen von Vorgängen nach benutzender Person:
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| summarize Count = count() by UserName, Permission
Abfrage zum Zusammenfassen von Vorgängen nach einem Portalmandanten:
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| summarize Count = count() by TenantName, Permission
Abfrage zum Ermitteln von Vorgängen, die von einer bestimmten Person ausgeführt werden:
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where UserName == 'user=specific_user'
| summarize Count = count() by Permission
Schritt 1: Verbinden der CTERA-Plattform mit Syslog
Einrichten der Syslog-Verbindung des CTERA-Portals und des Syslog-Connectors für Edge-Filer
Schritt 2: Installieren von Azure Monitor-Agent (AMA) auf einem Syslog-Server
Installieren Sie den Azure Monitor-Agent (AMA) auf dem Syslog-Server, um die Datensammlung zu aktivieren.
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.