Соединитель Cisco Secure Cloud Analytics для Microsoft Sentinel
Соединитель данных Cisco Secure Cloud Analytics предоставляет возможность приема событий Cisco Secure Cloud Analytics в Microsoft Sentinel. Дополнительные сведения см. в документации по Cisco Secure Cloud Analytics.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
Атрибут соединителя | Description |
---|---|
Таблицы Log Analytics | Syslog (StealthwatchEvent) |
Поддержка правил сбора данных | Преобразование DCR рабочей области |
Поддерживается | Корпорация Майкрософт |
Примеры запросов
Лучшие 10 источников
StealthwatchEvent
| summarize count() by tostring(DvcHostname)
| top 10 by count_
Инструкции по установке поставщика
Примечание.
Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto для работы, как ожидалось , StealthwatchEvent , развернутой с помощью решения Microsoft Sentinel. Этот соединитель данных разработан с помощью Cisco Secure Cloud Analytics версии 7.3.2
- Установка и подключение агента для Linux или Windows
Установите агент на сервере, на котором перенаправляются журналы Cisco Secure Cloud Analytics.
Журналы из сервера Cisco Secure Cloud Analytics, развернутого на серверах Linux или Windows, собираются агентами Linux или Windows .
- Настройка переадресации событий Cisco Secure Cloud Analytics
Выполните приведенные ниже действия по настройке, чтобы получить журналы Cisco Secure Cloud Analytics в Microsoft Sentinel.
Войдите в консоль управления Stealthwatch (SMC) в качестве администратора.
В строке меню щелкните "Управление ответами конфигурации > ".
В разделе "Действия" в меню "Управление ответами" нажмите кнопку "Добавить > сообщение системного журнала".
В окне "Добавление действия сообщения системного журнала" настройте параметры.
Введите следующий настраиваемый формат:
|Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}
Выберите настраиваемый формат из списка и нажмите кнопку "ОК"
Щелкните "Правила управления ответами>".
Нажмите кнопку "Добавить" и выберите "Сигнал узла".
Укажите имя правила в поле "Имя ".
Создайте правила, выбрав значения в меню "Тип" и "Параметры". Чтобы добавить дополнительные правила, щелкните значок многоточия. Для оповещения узла необходимо объединить как можно больше типов в операторе.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по