Cisco Secure Cloud Analytics-Connector für Microsoft Sentinel
Der Cisco Secure Cloud Analytics-Datenconnector bietet die Möglichkeit, Cisco Secure Cloud Analytics-Ereignisse in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in Cisco Secure Cloud Analytics-Dokumentation.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | Syslog (StealthwatchEvent) |
| Unterstützung für Datensammlungsregeln | Transformations-DCR des Arbeitsbereichs |
| Unterstützt von | Microsoft Corporation |
Abfragebeispiele
Top 10-Quellen
StealthwatchEvent
| summarize count() by tostring(DvcHostname)
| top 10 by count_
Installationsanweisungen des Anbieters
Hinweis
Dieser Datenconnector benötigt einen Parser auf der Basis einer Kusto-Funktion, um erwartungsgemäß zu funktionieren: StealthwatchEvent. (Wird zusammen mit der Microsoft Sentinel-Lösung bereitgestellt.) Dieser Datenconnector wurde mit der Cisco Secure Cloud Analytics-Version 7.3.2 entwickelt
- Installieren und Integrieren des Agents für Linux oder Windows
Installieren Sie den Agent auf dem Server, auf dem die Cisco Secure Cloud Analytics-Protokolle weitergeleitet werden.
Protokolle vom Cisco Secure Cloud Analytics-Server, der auf Linux- oder Windows-Servern bereitgestellt ist, werden von Linux- oder Windows-Agents gesammelt.
- Konfigurieren der Cisco Secure Cloud Analytics-Ereignisweiterleitung
Führen Sie die folgenden Konfigurationsschritte aus, um Cisco Secure Cloud Analytics-Protokolle in Microsoft Sentinel zu erhalten.
Melden Sie sich bei der Stealthwatch Management Console (SMC) als Administrator an.
Klicken Sie auf der Menüleiste auf Konfiguration > Response Management.
Klicken Sie im Abschnitt Actions des Menüs Response Management auf Add > Syslog Message.
Konfigurieren Sie Parameter im Aktionsfenster für die Syslog-Meldung.
Geben Sie das folgende benutzerdefinierte Format ein:
|Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}Wählen Sie das benutzerdefinierte Format aus der Liste aus, und klicken Sie auf OK.
Klicken Sie auf Response Management > Rules.
Klicken Sie auf Add, und wählen Sie Host Alarm aus.
Geben Sie im Feld Name einen Namen für die Regel an.
Erstellen Sie Regeln, indem Sie Werte aus den Menüs „Type“ und „Options“ auswählen. Klicken Sie zum Hinzufügen weiterer Regeln auf das Symbol mit den Auslassungspunkten. Kombinieren Sie für einen Hostalarm möglichst viele mögliche Typen in einer Anweisung.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für