Freigeben über


[Veraltet] Cisco Secure Cloud Analytics Connector für Microsoft Sentinel

Wichtig

Die Protokollsammlung aus vielen Appliances und Geräten wird jetzt vom Common Event Format (CEF) über AMA, Syslog über AMA oder benutzerdefinierte Protokolle über den AMA-Datenconnector in Microsoft Sentinel unterstützt. Weitere Informationen finden Sie unter Suchen Ihres Microsoft Sentinel-Datenconnectors.

Der Cisco Secure Cloud Analytics-Datenconnector bietet die Möglichkeit, Cisco Secure Cloud Analytics-Ereignisse in Microsoft Sentinel zu erfassen. Weitere Informationen finden Sie in Cisco Secure Cloud Analytics-Dokumentation.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen Syslog (StealthwatchEvent)
Unterstützung für Datensammlungsregeln Transformations-DCR des Arbeitsbereichs
Unterstützt von Microsoft Corporation

Abfragebeispiele

Top 10-Quellen

StealthwatchEvent

| summarize count() by tostring(DvcHostname)

| top 10 by count_

Installationsanweisungen des Anbieters

Hinweis

Dieser Datenconnector benötigt einen Parser auf der Basis einer Kusto-Funktion, um erwartungsgemäß zu funktionieren: StealthwatchEvent. (Wird zusammen mit der Microsoft Sentinel-Lösung bereitgestellt.)

Hinweis

Dieser Datenconnector wurde mit der Cisco Secure Cloud Analytics-Version 7.3.2 entwickelt

  1. Installieren und Integrieren des Agents für Linux oder Windows

Installieren Sie den Agent auf dem Server, auf dem die Cisco Secure Cloud Analytics-Protokolle weitergeleitet werden.

Protokolle vom Cisco Secure Cloud Analytics-Server, der auf Linux- oder Windows-Servern bereitgestellt ist, werden von Linux- oder Windows-Agents gesammelt.

  1. Konfigurieren der Cisco Secure Cloud Analytics-Ereignisweiterleitung

Führen Sie die folgenden Konfigurationsschritte aus, um Cisco Secure Cloud Analytics-Protokolle in Microsoft Sentinel zu erhalten.

  1. Melden Sie sich bei der Stealthwatch Management Console (SMC) als Administrator an.

  2. Klicken Sie auf der Menüleiste auf Konfiguration > Response Management.

  3. Klicken Sie im Abschnitt Actions des Menüs Response Management auf Add > Syslog Message.

  4. Konfigurieren Sie Parameter im Aktionsfenster für die Syslog-Meldung.

  5. Geben Sie das folgende benutzerdefinierte Format ein: |Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}

  6. Wählen Sie das benutzerdefinierte Format aus der Liste aus, und klicken Sie auf OK.

  7. Klicken Sie auf Response Management > Rules.

  8. Klicken Sie auf Add, und wählen Sie Host Alarm aus.

  9. Geben Sie im Feld Name einen Namen für die Regel an.

  10. Erstellen Sie Regeln, indem Sie Werte aus den Menüs „Type“ und „Options“ auswählen. Klicken Sie zum Hinzufügen weiterer Regeln auf das Symbol mit den Auslassungspunkten. Kombinieren Sie für einen Hostalarm möglichst viele mögliche Typen in einer Anweisung.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.