Соединитель NXLog FIM для Microsoft Sentinel
Модуль NXLog FIM позволяет проверять файлы и каталоги, сообщать о обнаруженных дополнениях, изменениях, переименованиях и удалениях на указанных путях с помощью вычисляемых контрольных сумм во время последовательных проверок. Этот соединитель REST API может эффективно экспортировать настроенные события FIM в Microsoft Sentinel в режиме реального времени.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | NXLogFIM_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | NXLog |
Примеры запросов
Поиск всех событий DELETE
NXLogFIM_CL
| where EventType_s == 'DELETE'
| project-away
SourceSystem,
Type
| sort by EventTime_t
Линейчатая диаграмма для событий на тип, на узел
NXLogFIM_CL
| summarize EventCount = count() by Hostname_s, EventType_s
| where strlen(EventType_s) > 1
| project Eventype = Hostname_s, EventType_s, EventCount
| order by EventCount desc
| render barchart
Круговая диаграмма для визуализации событий на узел
NXLogFIM_CL
| summarize EventCount = count() by Hostname_s, EventType_s
| sort by EventCount
| render piechart
Общие сводки событий на узел
NXLogFIM_CL
| summarize count() by Hostname_s, EventType_s
Инструкции по установке поставщика
Следуйте пошаговые инструкции в главе интеграции Microsoft Sentinel в руководстве пользователя NXLog, чтобы настроить этот соединитель.