Соединитель обработчика служб удостоверений Cisco для Microsoft Sentinel
Соединитель данных подсистемы удостоверений Cisco Identity Services (ISE) предоставляет возможность приема событий Cisco ISE в Microsoft Sentinel. Это помогает получить представление о том, что происходит в вашей сети, например кто подключен, какие приложения установлены и работают, и многое другое. Дополнительные сведения см. в документации по механизму ведения журнала ISE Cisco.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Псевдоним функции Kusto | CiscoISEEvent |
| URL-адрес функции Kusto | https://aka.ms/sentinel-ciscoise-parser |
| Таблицы Log Analytics | Syslog(CiscoISE) |
| Поддержка правил сбора данных | Преобразование DCR рабочей области |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
Первые 10 устройств отчетов
CiscoISEEvent
| summarize count() by DvcHostname
| top 10 by count_
Инструкции по установке поставщика
Примечание.
Правильная работа этого соединителя данных зависит от средства синтаксического анализа на основе функции Kusto. Выполните следующие действия , чтобы создать псевдоним Функций Kusto, CiscoISEEvent
- Установка и подключение агента для Linux
Обычно агент следует устанавливать не на том же компьютере, где создаются журналы.
Журналы системного журнала собираются только из агентов Linux .
- Настройка журналов для сбора
Настройте объекты, которые необходимо собрать, и соответствующие уровни серьезности.
В разделе "Конфигурация дополнительных параметров рабочей области" выберите "Данные" и "Системный журнал".
Выберите " Применить" на моих компьютерах и выберите объекты и серьезность.
Нажмите кнопку Сохранить.
Настройка расположений удаленной коллекции системного журнала Cisco ISE
Следуйте этим инструкциям, чтобы настроить расположения удаленных сборок системных журналов в развертывании Cisco ISE.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.