Auf Englisch lesen

Freigeben über


CTERA Syslog-Connector für Microsoft Sentinel

Der CTERA-Datenconnector für Microsoft Sentinel bietet Überwachungs- und Bedrohungserkennungsfunktionen für Ihre CTERA-Lösung. Er enthält eine Arbeitsmappe, die die Summe aller Vorgänge pro Typ, Löschvorgänge und Vorgänge mit verweigertem Zugriff visualisiert. Er bietet zudem Analyseregeln, die Ransomware-Vorfälle erkennen und Sie benachrichtigen, wenn Benutzende aufgrund verdächtiger Ransomware-Aktivitäten blockiert werden. Darüber hinaus hilft er Ihnen, kritische Muster wie Massenereignisse vom Typ „Zugriff verweigert“, Massenlöschungen und Massenberechtigungsänderungen zu identifizieren und dadurch proaktives Bedrohungsmanagement und entsprechende Reaktionen zu ermöglichen.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen syslog
Unterstützung für Datensammlungsregeln Transformations-DCR des Arbeitsbereichs
Unterstützt von CTERA

Abfragebeispiele

Abfrage, um alle verweigerten Vorgänge zu ermitteln:

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| where Permission matches regex @"(?i).*denied.*"

| summarize Count = count() by Permission

Abfrage, um alle Löschvorgänge zu ermitteln:

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| where Permission == "op=delete"

| summarize Count = count() by Permission

Abfrage zum Zusammenfassen von Vorgängen nach benutzender Person:

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| summarize Count = count() by UserName, Permission

Abfrage zum Zusammenfassen von Vorgängen nach einem Portalmandanten:

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| summarize Count = count() by TenantName, Permission

Abfrage zum Ermitteln von Vorgängen, die von einer bestimmten Person ausgeführt werden:

Syslog

| where ProcessName == 'gw-audit'

| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)

| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)

| where UserName == 'user=specific_user'

| summarize Count = count() by Permission

Installationsanweisungen des Anbieters

Schritt 1: Verbinden der CTERA-Plattform mit Syslog

Einrichten der Syslog-Verbindung des CTERA-Portals und des Syslog-Connectors für Edge-Filer

Schritt 2: Installieren von Azure Monitor-Agent (AMA) auf einem Syslog-Server

Installieren Sie den Azure Monitor-Agent (AMA) auf dem Syslog-Server, um die Datensammlung zu aktivieren.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.