Konektor Cisco Stealthwatch pro Microsoft Sentinel
Datový konektor Cisco Stealthwatch poskytuje schopnost ingestovat události Cisco Stealthwatch do Microsoft Sentinelu.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
atribut Připojení or | Popis |
---|---|
Tabulky Log Analytics | Syslog (StealthwatchEvent) |
Podpora pravidel shromažďování dat | Transformace pracovního prostoru – DCR |
Podporováno | Microsoft Corporation |
Ukázky dotazů
Prvních 10 zdrojů
StealthwatchEvent
| summarize count() by tostring(DvcHostname)
| top 10 by count_
Pokyny k instalaci dodavatele
Poznámka:
Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání StealthwatchEvent , která se nasazuje s řešením Microsoft Sentinel.
Poznámka:
Tento datový konektor byl vyvinut pomocí Cisco Stealthwatch verze 7.3.2.
- Instalace a onboarding agenta pro Linux nebo Windows
Nainstalujte agenta na server, kde se předávají protokoly Cisco Stealthwatch.
Protokoly z Cisco Stealthwatch Serveru nasazeného na serverech s Linuxem nebo Windows shromažďují agenti Linuxu nebo Windows .
- Konfigurace předávání událostí Cisco Stealthwatch
Pomocí následujících kroků konfigurace získejte protokoly Cisco Stealthwatch do Microsoft Sentinelu.
Přihlaste se ke konzole pro správu Stealthwatch (SMC) jako správce.
Na řádku nabídek klikněte na Správa odpovědí konfigurace>.
V části Akce v nabídce Správa odpovědí klepněte na tlačítko Přidat > zprávu Syslog.
V okně Akce přidat zprávu Syslog nakonfigurujte parametry.
Zadejte následující vlastní formát: |Lancope|Stealthwatch|7. 3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exportérName={exporter_hostname}|exportérIPAddress={exporter_ip}|exportérInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}
V seznamu vyberte vlastní formát a klikněte na TLAČÍTKO OK.
Klikněte na pravidla správy > odpovědí.
Klikněte na Přidat a vyberte Alarm hostitele.
Do pole Název zadejte název pravidla.
Vytvořte pravidla výběrem hodnot z nabídek Typ a Možnosti. Pokud chcete přidat další pravidla, klikněte na ikonu tří teček. V případě alarmu hostitele zkombinujte co nejvíce možných typů v příkazu.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.