Соединитель журналов безопасности IONIX для Microsoft Sentinel
Соединитель данных журналов безопасности IONIX отправляет журналы из системы IONIX непосредственно в Sentinel. Соединитель позволяет пользователям визуализировать свои данные, создавать оповещения и инциденты и улучшать исследования безопасности.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | CyberpionActionItems_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | IONIX |
Примеры запросов
Получение последних открытых элементов действия
let lookbackTime = 14d;
let maxTimeGeneratedBucket = toscalar(
CyberpionActionItems_CL
| where TimeGenerated > ago(lookbackTime)
| summarize max(bin(TimeGenerated, 1h))
);
CyberpionActionItems_CL
| where TimeGenerated > ago(lookbackTime) and is_open_b == true
| where bin(TimeGenerated, 1h) == maxTimeGeneratedBucket
Необходимые компоненты
Чтобы интегрироваться с журналами безопасности IONIX, убедитесь, что у вас есть:
- Подписка IONIX: для журналов IONIX требуется подписка и учетная запись. Его можно получить здесь.
Инструкции по установке поставщика
Следуйте инструкциям по интеграции оповещений безопасности IONIX в Sentinel.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.