Соединитель устройства веб-безопасности Cisco для Microsoft Sentinel
Соединитель данных устройства веб-безопасности Cisco (WSA) предоставляет возможность приема журналов доступа Cisco WSA в Microsoft Sentinel.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
Атрибут соединителя | Description |
---|---|
Таблицы Log Analytics | Syslog (CiscoWSAEvent) |
Поддержка правил сбора данных | Преобразование DCR рабочей области |
Поддерживается | Корпорация Майкрософт |
Примеры запросов
Первые 10 клиентов (исходный IP-адрес)
CiscoWSAEvent
| where notempty(SrcIpAddr)
| summarize count() by SrcIpAddr
| top 10 by count_
Инструкции по установке поставщика
Примечание.
Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto для работы, как ожидалось , CiscoWSAEvent , развернутой с помощью решения Microsoft Sentinel.
Примечание.
Этот соединитель данных разработан с помощью AsyncOS 14.0 для устройства веб-безопасности Cisco
- Настройте устройство веб-безопасности Cisco для пересылки журналов через системный журнал на удаленный сервер, где будет установлен агент.
Выполните следующие действия , чтобы настроить устройство веб-безопасности Cisco для пересылки журналов с помощью системного журнала
ПРИМЕЧАНИЕ. Выберите syslog Push в качестве метода извлечения.
- Установка и подключение агента для Linux или Windows
Установите агент на сервере, на который будут пересылаться журналы.
Журналы на серверах Linux или Windows собираются агентами Linux или Windows .
- Проверка журналов в Microsoft Sentinel
Откройте Log Analytics, чтобы проверка, если журналы получены с помощью схемы Syslog.
ПРИМЕЧАНИЕ. До появления новых журналов в таблице Syslog может потребоваться до 15 минут.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.