Connecteur Cisco Web Security Appliance pour Microsoft Sentinel
Le connecteur de données Cisco Web Security Appliance (WSA) offre la possibilité d’ingérer les journaux d’accès Cisco WSA dans Microsoft Sentinel.
Attributs du connecteur
Attribut du connecteur | Description |
---|---|
Table(s) Log Analytics | Syslog (CiscoWSAEvent) |
Prise en charge des règles de collecte des données | Règles de collecte de données pour la transformation de l’espace de travail |
Pris en charge par | Microsoft Corporation |
Exemples de requête
10 principaux clients (adresse IP source)
CiscoWSAEvent
| where notempty(SrcIpAddr)
| summarize count() by SrcIpAddr
| top 10 by count_
Instructions d’installation du fournisseur
Notes
Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu CiscoWSAEvent qui est déployé avec la solution Microsoft Sentinel.
Notes
Ce connecteur de données a été développé à l’aide d’AsyncOS 14.0 pour Cisco Web Security Appliance
- Configurez Cisco Web Security Appliance pour transférer les journaux via Syslog vers le serveur distant où vous allez installer l’agent.
Suivez ces étapes pour configurer Cisco Web Security Appliance pour transférer les journaux via Syslog
REMARQUE : sélectionnez Syslog Push comme méthode de récupération.
- Installer et intégrer l'agent pour Linux ou Windows
Installez l’agent sur le serveur vers lequel les journaux seront transférés.
Les journaux sur les serveurs Linux ou Windows sont collectés par les agents Linux ou Windows.
- Vérifier les journaux dans Microsoft Azure Sentinel
Ouvrez Log Analytics pour vérifier si les journaux sont reçus à l’aide du schéma Syslog.
REMARQUE : il peut falloir jusqu’à 15 minutes avant que les nouveaux journaux s’affichent dans la table Syslog.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.