Microsoft Sentinel 用 Cisco Stealthwatch コネクタ

  • [アーティクル]

Cisco Stealthwatch データ コネクタは、Cisco Stealthwatch イベントを Microsoft Sentinel に取り込む機能を備えています。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル Syslog (StealthwatchEvent)
データ収集ルールのサポート ワークスペース変換 DCR
サポートしているもの Microsoft Corporation

クエリのサンプル

上位 10 件のソース

StealthwatchEvent

| summarize count() by tostring(DvcHostname)

| top 10 by count_

ベンダーのインストール手順

注意

このデータ コネクタの期待どおりの動作は、Kusto 関数に基づくパーサー (Microsoft Sentinel ソリューションと共にデプロイされている StealthwatchEvent) に依存しています。

注意

このデータ コネクタは、Cisco Stealthwatch バージョン 7.3.2 を使用して開発されました

  1. Linux または Windows 用エージェントのインストールとオンボード

エージェントを、Cisco Stealthwatch のログが転送されるサーバーにインストールします。

Linux または Windows サーバー上にデプロイされた Cisco Stealthwatch Server からのログは、Linux または Windows エージェントによって収集されます。

  1. Cisco Stealthwatch イベント転送を設定する

次の構成手順に従って、Cisco Stealthwatch のログを Microsoft Sentinel に取り込みます。

  1. 管理者として、Stealthwatch 管理コンソール (SMC) にログインします。

  2. メニュー バーで [構成]>[応答管理] をクリックします。

  3. [応答管理] メニューの [アクション] セクションで、>[Syslog メッセージの追加] をクリックします。

  4. [Syslog メッセージ アクションの追加] ウィンドウで、パラメーターを構成します。

  5. 次のカスタム形式を入力します。: |Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}

  6. 一覧からカスタム形式を選択し、[OK] をクリックします

  7. [応答管理]>[ルール] をクリックします。

  8. [追加] をクリックし、[ホスト アラーム] を選択します。

  9. [名前] フィールドにルール名を入力します。

  10. [種類] メニューと [オプション] メニューから値を選択してルールを作成します。 さらにルールを追加するには、省略記号アイコンをクリックします。 ホスト アラームについては、1 つのステートメントに可能な限り多くの種類を組み合わせます。

次のステップ

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。