[Przestarzałe] Łącznik Cisco Secure Cloud Analytics dla usługi Microsoft Sentinel
Ważne
Zbieranie dzienników z wielu urządzeń i urządzeń jest teraz obsługiwane przez format Common Event Format (CEF) za pośrednictwem amA, dziennika systemowego za pośrednictwem usługi AMA lub dzienników niestandardowych za pośrednictwem łącznika danych AMA w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Znajdowanie łącznika danych usługi Microsoft Sentinel.
Łącznik danych cisco Secure Cloud Analytics zapewnia możliwość pozyskiwania zdarzeń cisco Secure Cloud Analytics w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją cisco Secure Cloud Analytics.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
Atrybuty łącznika
| Atrybut łącznika | opis |
|---|---|
| Tabele usługi Log Analytics | Syslog (StealthwatchEvent) |
| Obsługa reguł zbierania danych | Przekształcanie obszaru roboczego DCR |
| Obsługiwane przez | Microsoft Corporation |
Przykłady zapytań
10 najlepszych źródeł
StealthwatchEvent
| summarize count() by tostring(DvcHostname)
| top 10 by count_
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami StealthwatchEvent , która jest wdrażana przy użyciu rozwiązania Microsoft Sentinel.
Uwaga
Ten łącznik danych został opracowany przy użyciu usługi Cisco Secure Cloud Analytics w wersji 7.3.2
- Instalowanie i dołączanie agenta dla systemu Linux lub Windows
Zainstaluj agenta na serwerze, na którym są przekazywane dzienniki usługi Cisco Secure Cloud Analytics.
Dzienniki z serwera Cisco Secure Cloud Analytics Server wdrożonego na serwerach z systemem Linux lub Windows są zbierane przez agentów systemu Linux lub Windows .
- Konfigurowanie przekazywania zdarzeń usługi Cisco Secure Cloud Analytics
Wykonaj poniższe kroki konfiguracji, aby uzyskać dzienniki usługi Cisco Secure Cloud Analytics w usłudze Microsoft Sentinel.
Zaloguj się do konsoli zarządzania Stealthwatch (SMC) jako administrator.
Na pasku menu kliknij pozycję Zarządzanie odpowiedziami na konfigurację >.
W sekcji Akcje w menu Zarządzanie odpowiedziami kliknij pozycję Dodaj > komunikat dziennika systemowego.
W oknie Dodawanie akcji komunikatu dziennika systemowego skonfiguruj parametry.
Wprowadź następujący format niestandardowy: |Lancope|Stealthwatch|7. 3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID=={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domena={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}
Wybierz format niestandardowy z listy, a następnie kliknij przycisk OK
Kliknij pozycję Reguły zarządzania odpowiedziami>.
Kliknij przycisk Dodaj i wybierz pozycję Alarm hosta.
Podaj nazwę reguły w polu Nazwa .
Utwórz reguły, wybierając wartości z menu Typ i Opcje. Aby dodać więcej reguł, kliknij ikonę wielokropka. W przypadku alarmu hosta połącz jak najwięcej możliwych typów w instrukcji .
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.