[非推奨]Microsoft Sentinel 用 Cisco Web セキュリティ アプライアンス コネクタ
重要
多くのアプライアンスおよびデバイスからのログ収集が、AMA 経由の Common Event Format (CEF)、AMA 経由の Syslog、または Microsoft Sentinel の AMA データ コネクタ経由のカスタム ログでサポートされるようになりました。 詳細については、「Microsoft Sentinel データ コネクタを見つける」を参照してください。
Cisco Web Security Appliance (WSA) データ コネクタは、Cisco WSA アクセス ログを Microsoft Sentinel に取り込む機能を提供します。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
コネクタ属性 | 説明 |
---|---|
Log Analytics テーブル | Syslog (CiscoWSAEvent) |
データ収集ルールのサポート | ワークスペース変換 DCR |
サポートしているもの | Microsoft Corporation |
クエリのサンプル
上位 10 個のクライアント (ソース IP)
CiscoWSAEvent
| where notempty(SrcIpAddr)
| summarize count() by SrcIpAddr
| top 10 by count_
ベンダーのインストール手順
注意
このデータ コネクタは、Kusto 関数に基づくパーサー (Microsoft Sentinel ソリューションと共にデプロイされている CiscoWSAEvent) を利用して、想定のとおりに動作します。
注意
このデータ コネクタは、AsyncOS 14.0 for Cisco Web Security Appliance を使って開発されました
- エージェントをインストールするリモート サーバーに Syslog 経由でログを転送するように Cisco Web Security Appliance を構成します。
こちらの手順のようにして、Syslog 経由でログを転送するように Cisco Web Security Appliance を構成します。
注: 取得方法として [Syslog Push] (Syslog プッシュ) を選びます。
- Linux または Windows 用エージェントをインストールおよびオンボードする
ログの転送先のサーバーにエージェントをインストールします。
Linux または Windows サーバーのログは、Linux または Windows エージェントによって収集されます。
- Microsoft Sentinel でログを確認する
Log Analytics を開き、Syslog スキーマを使用してログが受信されているかどうかを確認します。
注: Syslog テーブルに新しいログが表示されるまでに最大 15 分かかる場合があります。
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。