Cisco Stealthwatch-Connector für Microsoft Sentinel

  • Artikel

Mit dem Cisco Stealthwatch-Datenconnector können Cisco Stealthwatch-Ereignisse in Microsoft Sentinel erfasst werden.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen Syslog (StealthwatchEvent)
Unterstützung für Datensammlungsregeln Transformations-DCR des Arbeitsbereichs
Unterstützt von Microsoft Corporation

Abfragebeispiele

Top 10-Quellen

StealthwatchEvent

| summarize count() by tostring(DvcHostname)

| top 10 by count_

Installationsanweisungen des Anbieters

Hinweis

Dieser Datenconnector benötigt einen Parser auf der Basis einer Kusto-Funktion, um erwartungsgemäß zu funktionieren: StealthwatchEvent. (Wird zusammen mit der Microsoft Sentinel-Lösung bereitgestellt.)

Hinweis

Dieser Datenconnector wurde mit der Cisco Stealthwatch-Version 7.3.2 entwickelt.

  1. Installieren und Integrieren des Agent für Linux oder Windows

Installieren Sie den Agent auf dem Server, auf dem die Cisco Stealthwatch-Protokolle weitergeleitet werden.

Protokolle von Cisco Stealthwatch Server auf Linux- oder Windows-Servern werden von Linux- oder Windows-Agents gesammelt.

  1. Konfigurieren der Weiterleitung von Cisco Stealthwatch-Ereignissen

Führen Sie die folgenden Konfigurationsschritte aus, um Cisco Stealthwatch-Protokolle in Microsoft Sentinel zu übertragen.

  1. Melden Sie sich bei der Stealthwatch Management Console (SMC) als Administrator an.

  2. Klicken Sie auf der Menüleiste auf Configuration>Response Management.

  3. Klicken Sie im Abschnitt Actions des Menüs Response Management auf Add > Syslog Message.

  4. Konfigurieren Sie Parameter im Aktionsfenster für die Syslog-Meldung.

  5. Geben Sie das folgende benutzerdefinierte Format ein: |Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}

  6. Wählen Sie das benutzerdefinierte Format aus der Liste aus, und klicken Sie auf OK.

  7. Klicken Sie auf Response Management > Rules.

  8. Klicken Sie auf Add, und wählen Sie Host Alarm aus.

  9. Geben Sie im Feld Name einen Namen für die Regel an.

  10. Erstellen Sie Regeln, indem Sie Werte aus den Menüs „Type“ und „Options“ auswählen. Klicken Sie zum Hinzufügen weiterer Regeln auf das Symbol mit den Auslassungspunkten. Kombinieren Sie für einen Hostalarm möglichst viele mögliche Typen in einer Anweisung.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.