Соединитель Cisco UCS для Microsoft Sentinel

  • Статья

Соединитель Cisco Unified Computing System (UCS) позволяет легко подключать журналы Cisco UCS к Microsoft Sentinel. Это дает более подробную информацию о сети вашей организации и улучшает возможности операций безопасности.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics Syslog (CiscoUCS)
Поддержка правил сбора данных Преобразование DCR рабочей области
Поддерживается Корпорация Майкрософт

Примеры запросов

Первые 10 целевых имен пользователей для событий аудита

CiscoUCS 

| where Mneumonic == "AUDIT" 

| summarize count() by DstUserName 

| top 10 by DstUserName

Первые 10 устройств, создающих события аудита

CiscoUCS 

| where Mneumonic == "AUDIT" 

| summarize count() by Computer 

| top 10 by Computer

Необходимые компоненты

Чтобы интегрироваться с Cisco UCS, убедитесь, что у вас есть:

  • Cisco UCS: необходимо настроить для экспорта журналов с помощью Системного журнала

Инструкции по установке поставщика

ПРИМЕЧАНИЕ. Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним CiscoUCS и загрузите код функции или щелкните здесь. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.

  1. Установка и подключение агента для Linux

Обычно агент следует устанавливать не на том же компьютере, где создаются журналы.

Журналы системного журнала собираются только из агентов Linux .

  1. Настройка журналов для сбора

Настройте объекты, которые необходимо собрать, и соответствующие уровни серьезности.

  1. В разделе "Конфигурация дополнительных параметров рабочей области" выберите "Данные" и "Системный журнал".

  2. Выберите " Применить" на моих компьютерах и выберите объекты и серьезность.

  3. Нажмите кнопку Сохранить.

  4. Настройка и подключение Cisco UCS

Следуйте этим инструкциям , чтобы настроить Cisco UCS для пересылки системного журнала. Используйте IP-адрес или имя узла для устройства Linux с агентом Linux, установленным в качестве IP-адреса назначения.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.