Cisco Web Security Appliance-Connector für Microsoft Sentinel
Der Cisco Web Security Appliance(WSA)-Daten-Connector bietet die Möglichkeit, Cisco WSA Access-Protokolle in Microsoft Sentinel zu erfassen.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | Syslog (CiscoWSAEvent) |
| Unterstützung für Datensammlungsregeln | Transformations-DCR des Arbeitsbereichs |
| Unterstützt von | Microsoft Corporation |
Abfragebeispiele
Wichtigste 10 Clients (Quell-IP-Adresse)
CiscoWSAEvent
| where notempty(SrcIpAddr)
| summarize count() by SrcIpAddr
| top 10 by count_
Installationsanweisungen des Anbieters
Hinweis
Dieser Daten-Connector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, damit er wie das erwartete CiscoWSAEvent funktioniert, das mit der Microsoft Sentinel-Lösung bereitgestellt wird.
Hinweis
Dieser Daten-Connector wurde mithilfe von AsyncOS 14.0 für Cisco Web Security Appliance entwickelt
- Konfigurieren Sie Cisco Web Security Appliance, um Protokolle über Syslog an den Remote-Server weiterzuleiten, auf dem Sie den Agent installieren.
Führen Sie die folgenden Schritte aus, um Cisco Web Security Appliance für die Weiterleitung von Protokollen über Syslog zu konfigurieren
HINWEIS: Wählen Sie Syslog Push als Abrufmethode aus.
- Agent für Linux oder Windows installieren und integrieren
Installieren Sie den Agent auf dem Server, an den die Protokolle weitergeleitet werden.
Protokolle auf Linux- oder Windows-Servern werden von Linux- oder Windows-Agents gesammelt.
- Überprüfen von Protokollen in Microsoft Sentinel
Öffnen Sie Log Analytics, um mithilfe des Syslog-Schemas zu überprüfen, ob die Protokolle empfangen werden.
HINWEIS: Es kann bis zu 15 Minuten dauern, bis neue Protokolle in der Syslog-Tabelle angezeigt werden.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.