Соединитель журналов действий Периметра 81 для Microsoft Sentinel
Соединитель журналов действий Периметра 81 позволяет легко подключать журналы действий Периметра 81 с помощью Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | Perimeter81_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Периметр 81 |
Примеры запросов
Сбои входа пользователя
Perimeter81_CL
| where eventName_s == "api.activity.login.fail"
Сбои авторизации приложения
Perimeter81_CL
| where eventName_s == "api.activity.application.auth.fail"
Запуск сеанса приложения
Perimeter81_CL
| where eventName_s == "api.activity.application.session.start"
Сбои проверки подлинности по IP-адресу и электронной почте (последние 24 часа)
Perimeter81_CL
| where TimeGenerated > ago(24h) and eventName_s in ("api.activity.login.fail", "api.activity.vpn.auth.fail", "api.activity.application.auth.fail")
| summarize count(releasedBy_email_s) by ip_s, releasedBy_email_s
| where count_releasedBy_email_s > 1
Удаление ресурсов по IP-адресу и электронной почте (за последние 24 часа)
Perimeter81_CL
| where TimeGenerated > ago(24h) and eventName_s matches regex "api.activity.*.remove*
|api.activity.*.delete*
|api.activity.*.destroy*"
| summarize count(releasedBy_email_s) by ip_s, releasedBy_email_s
| where count_releasedBy_email_s > 1
Инструкции по установке поставщика
Обратите внимание на приведенные ниже значения и следуйте инструкциям , чтобы подключить журналы действий Периметра 81 с помощью Microsoft Sentinel.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.