Microsoft Sentinel 用 Cisco Stealthwatch コネクタ
Cisco Stealthwatch データ コネクタは、Cisco Stealthwatch イベントを Microsoft Sentinel に取り込む機能を備えています。
コネクタの属性
コネクタ属性 | 説明 |
---|---|
Log Analytics テーブル | Syslog (StealthwatchEvent) |
データ収集ルールのサポート | ワークスペース変換 DCR |
サポートしているもの | Microsoft Corporation |
クエリのサンプル
上位 10 件のソース
StealthwatchEvent
| summarize count() by tostring(DvcHostname)
| top 10 by count_
ベンダーのインストール手順
注意
このデータ コネクタの期待どおりの動作は、Kusto 関数に基づくパーサー (Microsoft Sentinel ソリューションと共にデプロイされている StealthwatchEvent) に依存しています。
注意
このデータ コネクタは、Cisco Stealthwatch バージョン 7.3.2 を使用して開発されました
- Linux または Windows 用エージェントのインストールとオンボード
エージェントを、Cisco Stealthwatch のログが転送されるサーバーにインストールします。
Linux または Windows サーバー上にデプロイされた Cisco Stealthwatch Server からのログは、Linux または Windows エージェントによって収集されます。
- Cisco Stealthwatch イベント転送を設定する
次の構成手順に従って、Cisco Stealthwatch のログを Microsoft Sentinel に取り込みます。
管理者として、Stealthwatch 管理コンソール (SMC) にログインします。
メニュー バーで [構成]>[応答管理] をクリックします。
[応答管理] メニューの [アクション] セクションで、>[Syslog メッセージの追加] をクリックします。
[Syslog メッセージ アクションの追加] ウィンドウで、パラメーターを構成します。
次のカスタム形式を入力します。: |Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}
一覧からカスタム形式を選択し、[OK] をクリックします
[応答管理]>[ルール] をクリックします。
[追加] をクリックし、[ホスト アラーム] を選択します。
[名前] フィールドにルール名を入力します。
[種類] メニューと [オプション] メニューから値を選択してルールを作成します。 さらにルールを追加するには、省略記号アイコンをクリックします。 ホスト アラームについては、1 つのステートメントに可能な限り多くの種類を組み合わせます。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。