[Elavult] Cisco Secure Cloud Analytics-összekötő a Microsoft Sentinelhez
Fontos
A sok készülékről és eszközről származó naplógyűjtést mostantól támogatja a Common Event Format (CEF) az AMA-n, a Syslogon keresztül az AMA-n vagy az egyéni naplókon keresztül a Microsoft Sentinel AMA-adatösszekötőn keresztül. További információért lásd: A Microsoft Sentinel-adatösszekötő megkeresése.
A Cisco Secure Cloud Analytics-adatösszekötő lehetővé teszi a Cisco Secure Cloud Analytics-események Microsoft Sentinelbe való betöltését. További információért tekintse meg a Cisco Secure Cloud Analytics dokumentációját .
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Összekötő attribútumai
| Összekötő attribútum | Leírás |
|---|---|
| Log Analytics-tábla(ok) | Syslog (StealthwatchEvent) |
| Adatgyűjtési szabályok támogatása | Munkaterület-átalakítás – DCR |
| Támogatja: | Microsoft Corporation |
Példák lekérdezésekre
A 10 legjobb forrás
StealthwatchEvent
| summarize count() by tostring(DvcHostname)
| top 10 by count_
Szállító telepítési útmutatója
Feljegyzés
Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, amely a várt Módon működik a Microsoft Sentinel-megoldással üzembe helyezett StealthwatchEvent függvénynek megfelelően.
Feljegyzés
Ezt az adatösszekötőt a Cisco Secure Cloud Analytics 7.3.2-es verziójával fejlesztettük ki
- Az ügynök telepítése és előkészítése Linux vagy Windows rendszeren
Telepítse az ügynököt arra a kiszolgálóra, amelyen a Cisco Secure Cloud Analytics-naplók továbbításra kerülnek.
A Linux- vagy Windows-kiszolgálókon üzembe helyezett Cisco Secure Cloud Analytics Server naplóit Linux- vagy Windows-ügynökök gyűjtik.
- A Cisco Secure Cloud Analytics eseménytovábbításának konfigurálása
A Cisco Secure Cloud Analytics-naplók Microsoft Sentinelbe való beolvasásához kövesse az alábbi konfigurációs lépéseket.
Jelentkezzen be rendszergazdaként a Stealthwatch felügyeleti konzolra (SMC).
A menüsávon kattintson a Configuration Response Management (Konfigurációkezelés > ) elemre.
A Válaszkezelés menü Műveletek szakaszában kattintson a Syslog-üzenet hozzáadása elemre>.
A Syslog üzenetművelet hozzáadása ablakban konfigurálja a paramétereket.
Adja meg a következő egyéni formátumot: |Lancope|Stealthwatch|7. 3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|riasztásID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}
Válassza ki az egyéni formátumot a listából, és kattintson az OK gombra
Kattintson a Válaszkezelési > szabályok elemre.
Kattintson a Hozzáadás gombra, és válassza a Gazdagépriasztás lehetőséget.
Adjon meg egy szabálynevet a Név mezőben.
Szabályok létrehozása a Típus és a Beállítások menüben lévő értékek kiválasztásával. További szabályok hozzáadásához kattintson a három pontra. Gazdagépriasztás esetén a lehető legtöbb lehetséges típust egyesítse egy utasításban.
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.