Connecteur Cisco Secure Cloud Analytics pour Microsoft Sentinel
Le connecteur de données Cisco Secure Cloud Analytics offre la possibilité d’ingérer des événements Cisco Secure Cloud Analytics dans Microsoft Sentinel. Pour plus d’informations, consultez la documentation Cisco Secure Cloud Analytics.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | Syslog (StealthwatchEvent) |
| Prise en charge des règles de collecte des données | Règles de collecte de données pour la transformation de l’espace de travail |
| Pris en charge par | Microsoft Corporation |
Exemples de requête
10 sources principales
StealthwatchEvent
| summarize count() by tostring(DvcHostname)
| top 10 by count_
Instructions d’installation du fournisseur
Notes
Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu, StealthwatchEvent, qui est déployé avec la solution Microsoft Sentinel. Ce connecteur de données a été développé à l’aide de Cisco Secure Cloud Analytics version 7.3.2
- Installer et intégrer l’agent pour Linux ou Windows
Installez l’agent sur le serveur où les journaux Cisco Secure Cloud Analytics sont transférés.
Les journaux de Cisco Secure Cloud Analytics Server déployés sur des serveurs Linux ou Windows sont collectés par des agents Linux ou Windows.
- Configurer le transfert d’événements Cisco Secure Cloud Analytics
Suivez les étapes de configuration ci-dessous pour obtenir les journaux Cisco Secure Cloud Analytics dans Microsoft Sentinel.
Connectez-vous à Stealthwatch Management Console (SMC) en tant qu’administrateur.
Dans la barre de menus, cliquez sur Configuration>Gestion des réponses.
Dans la section Actions du menu Gestion des réponses, cliquez sur Ajouter > Message Syslog.
Dans la fenêtre Ajouter une action de message Syslog, configurez les paramètres.
Entrez le format personnalisé suivant :
|Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}Sélectionnez le format personnalisé dans la liste, puis cliquez sur OK
Cliquez sur Gestion des réponses > Règles.
Cliquez sur Ajouter, puis sélectionnez Alarme d’hôte.
Fournissez un nom de règle dans le champ Nom.
Créez des règles en sélectionnant des valeurs dans les menus Type et Options. Pour ajouter d’autres règles, cliquez sur l’icône de points de suspension. Pour une alarme d’hôte, combinez autant de types possibles que vous le pouvez dans une instruction.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour