Cisco Stealthwatch-connector voor Microsoft Sentinel
De Cisco Stealthwatch-gegevensconnector biedt de mogelijkheid om Cisco Stealthwatch-gebeurtenissen op te nemen in Microsoft Sentinel.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Verbinding maken orkenmerken
Verbinding maken orkenmerk | Beschrijving |
---|---|
Log Analytics-tabellen | Syslog (StealthwatchEvent) |
Ondersteuning voor regels voor gegevensverzameling | DCR voor werkruimtetransformatie |
Ondersteund door | Microsoft Corporation |
Voorbeelden van query's
Top 10 bronnen
StealthwatchEvent
| summarize count() by tostring(DvcHostname)
| top 10 by count_
Installatie-instructies van leverancier
Notitie
Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie om te werken zoals verwacht StealthwatchEvent dat is geïmplementeerd met de Microsoft Sentinel-oplossing.
Notitie
Deze gegevensconnector is ontwikkeld met Cisco Stealthwatch versie 7.3.2
- De agent voor Linux of Windows installeren en onboarden
Installeer de agent op de server waarop de Cisco Stealthwatch-logboeken worden doorgestuurd.
Logboeken van Cisco Stealthwatch Server die zijn geïmplementeerd op Linux- of Windows-servers worden verzameld door Linux- of Windows-agents.
- Doorsturen van Cisco Stealthwatch-gebeurtenissen configureren
Volg de onderstaande configuratiestappen om Cisco Stealthwatch-logboeken op te halen in Microsoft Sentinel.
Meld u als beheerder aan bij de Stealthwatch Management Console (SMC).
Klik in de menubalk op Configuratieantwoordbeheer>.
Klik in de sectie Acties in het menu Antwoordbeheer op Syslog-bericht toevoegen>.
Configureer parameters in het venster Syslog-berichtactie toevoegen.
Voer de volgende aangepaste indeling in: |Lancope|Stealthwatch|7. 3 |{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID ={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}
Selecteer de aangepaste indeling in de lijst en klik op OK
Klik op Regels voor antwoordbeheer>.
Klik op Toevoegen en selecteer Hostalarm.
Geef een regelnaam op in het veld Naam .
Maak regels door waarden te selecteren in de menu's Type en Opties. Als u meer regels wilt toevoegen, klikt u op het beletseltekenpictogram. Voor een hostalarm combineert u zoveel mogelijk typen in een instructie.
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.