Connecteur Cisco Stealthwatch pour Microsoft Sentinel
Le connecteur de données Cisco Stealthwatch permet d’ingérer les événements Cisco Stealthwatch dans Microsoft Sentinel.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | Syslog (StealthwatchEvent) |
| Prise en charge des règles de collecte des données | Règles de collecte de données pour la transformation de l’espace de travail |
| Pris en charge par | Microsoft Corporation |
Exemples de requête
10 sources principales
StealthwatchEvent
| summarize count() by tostring(DvcHostname)
| top 10 by count_
Instructions d’installation du fournisseur
Notes
Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu, StealthwatchEvent, qui est déployé avec la solution Microsoft Sentinel.
Notes
Ce connecteur de données a été développé à l’aide de Cisco Stealthwatch version 7.3.2
- Installer et intégrer l’agent pour Linux ou Windows
Installez l’agent sur le serveur sur lequel les journaux Cisco Stealthwatch sont transférés.
Les journaux d’activité du serveur Cisco Stealthwatch déployé sur des serveurs Linux ou Windows sont collectés par des agents Linux ou Windows.
- Configurer le transfert d’événements Cisco Stealthwatch
Suivez les étapes de configuration ci-dessous pour accéder aux journaux d’appareil Cisco Stealthwatch dans Microsoft Sentinel.
Connectez-vous à Stealthwatch Management Console (SMC) en tant qu’administrateur.
Dans la barre de menus, cliquez sur Configuration>Gestion des réponses.
Dans la section Actions du menu Gestion des réponses, cliquez sur Ajouter > Message Syslog.
Dans la fenêtre Ajouter une action de message Syslog, configurez les paramètres.
Entrez le format personnalisé suivant : |Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}
Sélectionnez le format personnalisé dans la liste, puis cliquez sur OK
Cliquez sur Gestion des réponses > Règles.
Cliquez sur Ajouter, puis sélectionnez Alarme d’hôte.
Fournissez un nom de règle dans le champ Nom.
Créez des règles en sélectionnant des valeurs dans les menus Type et Options. Pour ajouter d’autres règles, cliquez sur l’icône de points de suspension. Pour une alarme d’hôte, combinez autant de types possibles que vous le pouvez dans une instruction.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.