Konektor Cisco Web Security Appliance pro Microsoft Sentinel
Datový konektor Cisco Web Security Appliance (WSA) poskytuje možnost ingestovat protokoly přístupu Cisco WSA do služby Microsoft Sentinel.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
atribut Připojení or | Popis |
---|---|
Tabulky Log Analytics | Syslog (CiscoWSAEvent) |
Podpora pravidel shromažďování dat | Transformace pracovního prostoru – DCR |
Podporováno | Microsoft Corporation |
Ukázky dotazů
Prvních 10 klientů (zdrojová IP adresa)
CiscoWSAEvent
| where notempty(SrcIpAddr)
| summarize count() by SrcIpAddr
| top 10 by count_
Pokyny k instalaci dodavatele
Poznámka:
Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání CiscoWSAEvent nasazené s řešením Microsoft Sentinel.
Poznámka:
Tento datový konektor byl vyvinut pomocí AsyncOS 14.0 pro Cisco Web Security Appliance.
- Nakonfigurujte cisco Web Security Appliance tak, aby předávala protokoly přes Syslog na vzdálený server, kde nainstalujete agenta.
Podle těchto kroků nakonfigurujte zařízení Cisco Web Security pro předávání protokolů přes Syslog.
POZNÁMKA: Jako metodu načítání vyberte Syslog Push .
- Instalace a onboarding agenta pro Linux nebo Windows
Nainstalujte agenta na server, do kterého se budou protokoly předávat.
Protokoly na serverech s Linuxem nebo Windows shromažďují agenti Linuxu nebo Windows .
- Kontrola protokolů v Microsoft Sentinelu
Otevřete Log Analytics a zkontrolujte, jestli se protokoly přijímají pomocí schématu Syslog.
POZNÁMKA: Než se nové protokoly zobrazí v tabulce Syslog, může to trvat až 15 minut.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.