Cisco Secure Cloud Analytics-anslutningsprogram för Microsoft Sentinel
Cisco Secure Cloud Analytics-dataanslutningsappen ger möjlighet att mata in Cisco Secure Cloud Analytics-händelser i Microsoft Sentinel. Mer information finns i Cisco Secure Cloud Analytics-dokumentationen.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslutningsattribut
| Anslutningsattribut | beskrivning |
|---|---|
| Log Analytics-tabeller | Syslog (StealthwatchEvent) |
| Stöd för regler för datainsamling | DcR för arbetsytetransformering |
| Stöds av | Microsoft Corporation |
Exempel på frågor
De 10 främsta källorna
StealthwatchEvent
| summarize count() by tostring(DvcHostname)
| top 10 by count_
Installationsanvisningar för leverantör
Kommentar
Den här dataanslutningsappen är beroende av en parser som baseras på en Kusto-funktion för att fungera som förväntat StealthwatchEvent som distribueras med Microsoft Sentinel-lösningen. Den här dataanslutningsappen har utvecklats med Cisco Secure Cloud Analytics version 7.3.2
- Installera och registrera agenten för Linux eller Windows
Installera agenten på servern där Cisco Secure Cloud Analytics-loggarna vidarebefordras.
Loggar från Cisco Secure Cloud Analytics Server som distribueras på Linux- eller Windows-servrar samlas in av Linux- eller Windows-agenter.
- Konfigurera vidarebefordran av Cisco Secure Cloud Analytics-händelser
Följ konfigurationsstegen nedan för att hämta Cisco Secure Cloud Analytics-loggar till Microsoft Sentinel.
Logga in på Stealthwatch Management Console (SMC) som administratör.
I menyraden klickar du på Hantering av konfigurationssvar > .
I avsnittet Åtgärder på menyn Svarshantering klickar du på Lägg till > Syslog-meddelande.
I fönstret Lägg till Syslog-meddelandeåtgärd konfigurerar du parametrar.
Ange följande anpassade format:
|Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}Välj det anpassade formatet i listan och klicka på OK
Klicka på Svarshanteringsregler>.
Klicka på Lägg till och välj Värdlarm.
Ange ett regelnamn i fältet Namn .
Skapa regler genom att välja värden från menyerna Typ och Alternativ. Om du vill lägga till fler regler klickar du på ellipsikonen. För ett värdlarm kombinerar du så många möjliga typer som möjligt i en instruktion.
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för