Поделиться через


Соединитель Netclean ProActive Incidents для Microsoft Sentinel

Этот соединитель использует веб-перехватчик Netclean (обязательный) и Logic Apps для отправки данных в Microsoft Sentinel Log Analytics

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics Netclean_Incidents_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается NetClean

Примеры запросов

Netclean — все действия.

Netclean_Incidents_CL 
| sort by TimeGenerated desc

Инструкции по установке поставщика

Примечание.

Соединитель данных использует Azure Logic Apps для получения и отправки данных в Log Analytics, что может привести к дополнительным затратам на прием данных. Это можно проверить без logic Apps или NetClean Proactive see option 2

Вариант 1. Развертывание приложения логики (требуется упреждающее приложение NetClean)

  1. Скачайте и установите приложение логики здесь: https://portal.azure.com/#create/netcleantechnologiesab1651557549734.netcleanlogicappnetcleanproactivelogicapp)
  2. Перейдите к созданному приложению логики в конструкторе приложений логики, нажмите кнопку +Создать шаг и найдите "Сборщик данных Azure Log Analytics" и выберите "Отправить данные".
    Введите пользовательское имя журнала: Netclean_Incidents и фиктивное значение в тексте запроса Json и нажмите кнопку "Перейти к представлению кода" на верхней ленте и прокрутите вниз до строки ~100, чтобы начать с "Текст"
    замените строку на следующую:

"body": "{\n"Hostname":"@{переменные('machineName')}",\n"agentType":"@{triggerBody()['value']['agent']['type'}",\n"Идентификатор":"@{triggerBody()?[' key']? ['identifier']}",\n"type":"@{triggerBody()?[' key']? ['type']}",\n"version":"@{triggerBody()?[' value']? ['incidentVersion']}",\n"foundTime":"@{triggerBody()?[ value']? ['foundTime']}",\n"detectionMethod":"@{triggerBody()?[ value']? ['detectionHashType']}",\n"agentInformatonIdentifier":"@{triggerBody()?[ value']? ['device']? ['identifier']}",\n"osVersion":"@{triggerBody()?[' value']? ['device']? ['operatingSystemVersion']}",\n"machineName":"@{переменные('machineName')}",\n"microsoftCultureId":"@{triggerBody()?[' value']? ['device']? ['microsoftCultureId']}",\n"timeZoneId":"@{triggerBody()?[' value']? ['device']? ['timeZoneName']}",\n"microsoftGeoId":"@{triggerBody()?[' value']? ['device']? ['microsoftGeoId']}",\n"domainname":"@{variables('domain')}",\n"Agentversion":"@{triggerBody()['value']['agent']['version']}",\n"Agentidentifier":"@{triggerBody()['value']['identifier'}",\n"loggedOnUsers":"@{variables('Usernames')}",\n"size":"@{triggerBody()?' value']? ['file']? ['size']}",\n"creationTime":"@{triggerBody()?[' value']? ['file']? ['creationTime']}",\n"lastAccessTime":"@{triggerBody()?[ value']? ['file']? ['lastAccessTime']}",\n"lastWriteTime":"@{triggerBody()?[' value']? ['file']? ['lastModifiedTime']}",\n"sha1":"@{triggerBody()?[' value']? ['file']? ['calculatedHashes']? ['sha1']}",\n"nearbyFiles_sha1":"@{переменные('nearbyFiles_sha1s')}",\n"externalIP":"@{triggerBody()?[' value']? ['device']? ['resolvedExternalIp']}",\n"domain":"@{variables('domain')}",\n"hasCollectedNearbyFiles":"@{переменные('hasCollectedNearbyFiles')}",\n"filePath":"@{replace(triggerBody()['value']['file']['path'], '\', '\\')}",\n"m365WebUrl":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['webUrl']}",\n"m365CreatedBymail":"@{triggerBody()?[' value']? ['file']? ['createdBy']? ['graphIdentity']? ['user']? ['mail']}",\n"m365LastModifiedByMail":"@{triggerBody()?[' value']? ['file']? ['lastModifiedBy']? ['graphIdentity']? ['user']? ['mail']}",\n"m365LibraryId":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['library']? ['id']}",\n"m365LibraryDisplayName":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['library']? ['displayName']}",\n"m365Librarytype":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['library']? ['type']}",\n"m365siteid":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['site']? ['id']}",\n"m365sitedisplayName":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['site']? ['displayName']}",\n"m365sitename":"@{triggerBody()?[' value']? ['file']? ['microsoft365']? ['parent']? ['name']}",\n"countOfAllNearByFiles":"@{variables('countOfAllNearByFiles')}",\n\n}",
Нажмите кнопку "Сохранить"
3. Скопируйте URL-адрес HTTP POST 4. Перейдите в веб-консоль NetClean ProActive и перейдите к параметрам, в разделе "Веб-перехватчик" настройте новый веб-перехватчик с помощью URL-адреса, скопированного на шаге 3 5. Проверьте функциональные возможности, активировав демонстрационный инцидент.

Вариант 2 (только тестирование)

Прием данных с помощью функции API. Используйте скрипт, найденный при отправке данных журнала в Azure Monitor с помощью API сборщика данных HTTP
Замените значения CustomerId и SharedKey значениями, которые заменяют содержимое в переменной $json образцом данных. Задайте для logType varible значение Netclean_Incidents_CL Запустить скрипт

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.