موصل Cisco Secure Cloud Analytics ل Microsoft Sentinel
يوفر موصل بيانات Cisco Secure Cloud Analytics القدرة على استيعاب أحداث Cisco Secure Cloud Analytics في Microsoft Sentinel. راجع وثائق Cisco Secure Cloud Analytics لمزيد من المعلومات.
هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.
سمات الموصل
سمة الموصل | الوصف |
---|---|
جدول (جداول) Log Analytics | Syslog (StealthwatchEvent) |
دعم قواعد جمع البيانات | تحويل DCR لمساحة العمل |
مدعومة من قبل | Microsoft Corporation |
عينات الاستعلام
أهم 10 مصادر
StealthwatchEvent
| summarize count() by tostring(DvcHostname)
| top 10 by count_
إرشادات تثبيت المورد
إشعار
يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع StealthwatchEvent الذي يتم نشره مع حل Microsoft Sentinel. تم تطوير موصل البيانات هذا باستخدام Cisco Secure Cloud Analytics الإصدار 7.3.2
- تثبيت وإلحاق العامل ل Linux أو Windows
قم بتثبيت العامل على الخادم حيث تتم إعادة توجيه سجلات Cisco Secure Cloud Analytics.
يتم تجميع السجلات من Cisco Secure Cloud Analytics Server المنشورة على خوادم Linux أو Windows بواسطة وكلاء Linux أو Windows .
- تكوين إعادة توجيه حدث Cisco Secure Cloud Analytics
اتبع خطوات التكوين أدناه للحصول على سجلات Cisco Secure Cloud Analytics في Microsoft Sentinel.
سجل الدخول إلى وحدة تحكم إدارة Stealthwatch (SMC) كمسؤول.
في شريط القوائم، انقر فوق Configuration > Response Management.
من قسم Actions في قائمة Response Management، انقر فوق Add > Syslog Message.
في نافذة Add Syslog Message Action، قم بتكوين المعلمات.
أدخل التنسيق المخصص التالي:
|Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}
حدد التنسيق المخصص من القائمة وانقر فوق موافق
انقر فوق قواعد إدارة > الاستجابة.
انقر فوق Add وحدد Host Alarm.
أدخل اسم قاعدة في حقل الاسم .
قم بإنشاء قواعد عن طريق تحديد قيم من قائمتي النوع والخيارات. لإضافة المزيد من القواعد، انقر فوق أيقونة علامة الحذف. بالنسبة إلى Host Alarm، اجمع أكبر عدد ممكن من الأنواع في عبارة قدر الإمكان.
الخطوات التالية
لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.
الملاحظات
https://aka.ms/ContentUserFeedback.
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجعإرسال الملاحظات وعرضها المتعلقة بـ