[En desuso] Conector cisco Secure Cloud Analytics para Microsoft Sentinel
Importante
La recopilación de registros de muchos dispositivos y dispositivos ahora es compatible con el formato de evento común (CEF) a través de AMA, Syslog a través de AMA o registros personalizados a través del conector de datos AMA en Microsoft Sentinel. Para más información, consulte Búsqueda del conector de datos de Microsoft Sentinel.
El conector de datos de Cisco Secure Cloud Analytics proporciona la capacidad de ingerir eventos de Cisco Secure Cloud Analytics en Microsoft Sentinel. Consulte la documentación de Cisco Secure Cloud Analytics para obtener más información.
Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| Tabla de Log Analytics | Syslog (StealthwatchEvent) |
| Compatibilidad con reglas de recopilación de datos | DCR de transformación del área de trabajo |
| Compatible con | Microsoft Corporation |
Ejemplos de consultas
Principales 10 orígenes
StealthwatchEvent
| summarize count() by tostring(DvcHostname)
| top 10 by count_
Instrucciones de instalación del proveedor
Nota
Este conector de datos depende de un analizador basado en una función de Kusto para funcionar según lo previsto en Cisco StealthwatchEvent, que se implementa con la solución Microsoft Sentinel.
Nota:
Este conector de datos se ha desarrollado con Cisco Secure Cloud Analytics, versión 7.3.2
- Instalación e incorporación del agente para Linux o Windows
Instale el agente en el servidor donde se reenvían los registros de Cisco Secure Cloud Analytics.
Los registros de Cisco Secure Cloud Analytics Server implementados en servidores Linux o Windows los recopilan los agentes de Linux o Windows.
- Configuración del reenvío de eventos de Cisco Secure Cloud Analytics
Siga estos pasos de configuración para obtener los registros de Cisco Secure Cloud Analytics en Microsoft Sentinel.
Inicie sesión en la Consola de administración de Stealthwatch (SMC) como administrador.
En la barra de menú, haga clic en Configuración > Response Management.
En la sección Actions del menú Response Management, haga clic en Add > Syslog Message.
En la ventana Add Syslog Message, configure los parámetros.
Escriba el siguiente formato personalizado: |Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}
Seleccione el formato personalizado de la lista y haga clic en OK.
Haga clic en Response Management > Rules.
Haga clic en Add y seleccione Host Alarm.
Escriba un nombre de regla en el campo Name.
Seleccione valores en los menús Type y Options para crear reglas. Para agregar más reglas, haga clic en el icono de puntos suspensivos. Para una alarma de host, combine todos los tipos posibles en una instrucción.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.