Microsoft Sentinel용 CTERA Syslog 커넥터
Microsoft Sentinel용 CTERA 데이터 커넥터는 CTERA 솔루션에 대한 모니터링 및 위협 감지 기능을 제공합니다. 여기에는 형식, 삭제 및 거부된 액세스 작업당 모든 작업의 합계를 시각화하는 통합 문서가 포함됩니다. 또한 랜섬웨어 인시던트를 감지하고 의심스러운 랜섬웨어 활동으로 인해 사용자가 차단될 때 경고하는 분석 규칙도 제공합니다. 또한 대량 액세스 거부 이벤트, 대량 삭제 및 대량 권한 변경과 같은 중요한 패턴을 식별하여 사전 위협 관리 및 대응을 가능하게 합니다.
자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.
커넥터 특성
| 커넥터 특성 | 설명 |
|---|---|
| Log Analytics 테이블 | syslog |
| 데이터 수집 규칙 지원 | 작업 영역 변환 DCR |
| 다음에서 지원 | CTERA |
쿼리 샘플
거부된 모든 작업을 찾기 위한 쿼리입니다.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where Permission matches regex @"(?i).*denied.*"
| summarize Count = count() by Permission
쿼리하여 모든 삭제 작업을 찾습니다.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where Permission == "op=delete"
| summarize Count = count() by Permission
쿼리하여 사용자별 작업을 요약합니다.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| summarize Count = count() by UserName, Permission
포털 테넌트별 작업을 요약하는 쿼리입니다.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| summarize Count = count() by TenantName, Permission
쿼리하여 특정 사용자가 수행한 작업을 찾습니다.
Syslog
| where ProcessName == 'gw-audit'
| extend TenantName = extract("(\"vportal\":\"[^\"]*\")", 1, SyslogMessage), UserName = extract("(user=[^
|]*)", 1, SyslogMessage)
| extend Permission = extract("(op=[^
|]*)", 1, SyslogMessage)
| where UserName == 'user=specific_user'
| summarize Count = count() by Permission
공급업체 설치 지침
1단계: CTERA 플랫폼을 Syslog에 연결
CTERA 포털 syslog 연결 및 Edge-Filer Syslog 커넥터 설정
2단계: Syslog Server에 AMA(Azure Monitor 에이전트) 설치
Syslog 서버에 AMA(Azure Monitor Agent)를 설치하여 데이터 수집을 사용하도록 설정합니다.
다음 단계
자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.