مشاركة عبر

موصل Cisco Secure Cloud Analytics ل Microsoft Sentinel

  • مقالة

يوفر موصل بيانات Cisco Secure Cloud Analytics القدرة على استيعاب أحداث Cisco Secure Cloud Analytics في Microsoft Sentinel. راجع وثائق Cisco Secure Cloud Analytics لمزيد من المعلومات.

هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.

سمات الموصل

سمة الموصل ‏‏الوصف
جدول (جداول) Log Analytics Syslog (StealthwatchEvent)
دعم قواعد جمع البيانات تحويل DCR لمساحة العمل
مدعومة من قبل Microsoft Corporation

عينات الاستعلام

أهم 10 مصادر

StealthwatchEvent

| summarize count() by tostring(DvcHostname)

| top 10 by count_

إرشادات تثبيت المورد

إشعار

يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع StealthwatchEvent الذي يتم نشره مع حل Microsoft Sentinel. تم تطوير موصل البيانات هذا باستخدام Cisco Secure Cloud Analytics الإصدار 7.3.2

  1. تثبيت وإلحاق العامل ل Linux أو Windows

قم بتثبيت العامل على الخادم حيث تتم إعادة توجيه سجلات Cisco Secure Cloud Analytics.

يتم تجميع السجلات من Cisco Secure Cloud Analytics Server المنشورة على خوادم Linux أو Windows بواسطة وكلاء Linux أو Windows .

  1. تكوين إعادة توجيه حدث Cisco Secure Cloud Analytics

اتبع خطوات التكوين أدناه للحصول على سجلات Cisco Secure Cloud Analytics في Microsoft Sentinel.

  1. سجل الدخول إلى وحدة تحكم إدارة Stealthwatch (SMC) كمسؤول.

  2. في شريط القوائم، انقر فوق Configuration > Response Management.

  3. من قسم Actions في قائمة Response Management، انقر فوق Add > Syslog Message.

  4. في نافذة Add Syslog Message Action، قم بتكوين المعلمات.

  5. أدخل التنسيق المخصص التالي: |Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}

  6. حدد التنسيق المخصص من القائمة وانقر فوق موافق

  7. انقر فوق قواعد إدارة > الاستجابة.

  8. انقر فوق Add وحدد Host Alarm.

  9. أدخل اسم قاعدة في حقل الاسم .

  10. قم بإنشاء قواعد عن طريق تحديد قيم من قائمتي النوع والخيارات. لإضافة المزيد من القواعد، انقر فوق أيقونة علامة الحذف. بالنسبة إلى Host Alarm، اجمع أكبر عدد ممكن من الأنواع في عبارة قدر الإمكان.

الخطوات التالية

لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.