Cisco Web Security Appliance-anslutningsprogram för Microsoft Sentinel
Cisco Web Security Appliance (WSA) dataanslutning ger möjlighet att mata in Cisco WSA-åtkomstloggar i Microsoft Sentinel.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslut ellerattribut
Anslut ellerattribut | beskrivning |
---|---|
Log Analytics-tabeller | Syslog (CiscoWSAEvent) |
Stöd för regler för datainsamling | DcR för arbetsytetransformering |
Stöds av | Microsoft Corporation |
Exempel på frågor
De 10 främsta klienterna (käll-IP)
CiscoWSAEvent
| where notempty(SrcIpAddr)
| summarize count() by SrcIpAddr
| top 10 by count_
Installationsanvisningar för leverantör
Kommentar
Den här dataanslutningsappen är beroende av en parser baserad på en Kusto-funktion för att fungera som förväntat CiscoWSAEvent som distribueras med Microsoft Sentinel-lösningen.
Kommentar
Den här dataanslutningsappen har utvecklats med hjälp av AsyncOS 14.0 för Cisco Web Security Appliance
- Konfigurera Cisco Web Security Appliance för att vidarebefordra loggar via Syslog till fjärrservern där du installerar agenten.
Följ de här stegen för att konfigurera Cisco Web Security Appliance för vidarebefordran av loggar via Syslog
Obs! Välj Syslog Push som hämtningsmetod.
- Installera och registrera agenten för Linux eller Windows
Installera agenten på servern som loggarna ska vidarebefordras till.
Loggar på Linux- eller Windows-servrar samlas in av Linux- eller Windows-agenter.
- Kontrollera loggar i Microsoft Sentinel
Öppna Log Analytics för att kontrollera om loggarna tas emot med hjälp av Syslog-schemat.
Obs! Det kan ta upp till 15 minuter innan nya loggar visas i Syslog-tabellen.
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.