Compartilhar via


[Obsoleto] Conector do Cisco Secure Cloud Analytics para Microsoft Sentinel

Importante

A coleta de logs de vários aparelhos e dispositivos agora tem suporte no Formato Comum de Evento (CEF) via AMA, Syslog via AMA, ou Logs Personalizados via conector de dados AMA no Microsoft Sentinel. Para obter mais informações, consulte Encontrar seu conector de dados do Microsoft Sentinel.

O conector de dados Cisco Secure Cloud Analytics fornece a capacidade de ingerir eventos Cisco Secure Cloud Analytics no Microsoft Sentinel. Consulte a documentação do Cisco Secure Cloud Analytics para obter mais informações.

Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics Syslog (StealthwatchEvent)
Suporte às regras de coleta de dados DCR de transformação do espaço de trabalho
Com suporte por Microsoft Corporation

Exemplos de consulta

10 Principais Fontes

StealthwatchEvent

| summarize count() by tostring(DvcHostname)

| top 10 by count_

Instruções de instalação do fornecedor

Observação

Esse conector de dados depende de um analisador baseado em uma função Kusto para funcionar como esperado, StealthwatchEvent, que é implantada com a solução Microsoft Sentinel.

Observação

Esse conector de dados foi desenvolvido usando o Cisco Secure Cloud Analytics versão 7.3.2

  1. Instalar e integrar o agente para Linux ou Windows

Instale o agente no servidor para onde os logs do Cisco Secure Cloud Analytics são encaminhados.

Os logs do Cisco Secure Cloud Analytics Server implantados em servidores Linux ou Windows são coletados por agentes Linux ou Windows.

  1. Configurar o encaminhamento de eventos do Cisco Secure Cloud Analytics

Siga as etapas de configuração abaixo para obter logs do Cisco Secure Cloud Analytics no Microsoft Sentinel.

  1. Entre no SMC (Stealthwatch Management Console) como administrador.

  2. Na barra de menus, clique em Configuração > Gerenciamento de Resposta.

  3. Na seção Ações no menu Gerenciamento de Resposta, clique em Adicionar > Mensagem do Syslog.

  4. Na janela Adicionar Ação de Mensagem do Syslog, configure os parâmetros.

  5. Insira o seguinte formato personalizado: |Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}

  6. Selecione o formato personalizado na lista e clique em OK

  7. Clique em Regras de Gerenciamento > Resposta.

  8. Clique em Adicionar e selecione Alarme do Host.

  9. Forneça um nome de regra no campoNome.

  10. Crie regras selecionando valores nos menus Tipo e Opções. Para adicionar mais regras, clique no ícone de reticências. Para um Alarme de Host, combine o máximo possível de tipos em uma instrução.

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.