適用於 Microsoft Sentinel 的 Cisco Stealthwatch 連接器
Cisco Stealthwatch 數據連接器提供將 Cisco Stealthwatch 事件內嵌至 Microsoft Sentinel 的功能。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
| 連線 or 屬性 | 描述 |
|---|---|
| Log Analytics 數據表(s) | Syslog (隱形手錶Event) |
| 數據收集規則支援 | 工作區轉換 DCR |
| 支援者: | Microsoft Corporation |
查詢範例
前10個來源
StealthwatchEvent
| summarize count() by tostring(DvcHostname)
| top 10 by count_
廠商安裝指示
注意
此數據連接器相依於以 Kusto 函式為基礎的剖析器,以如預期般運作使用 Microsoft Sentinel 解決方案部署的 StealthwatchEvent。
注意
此數據連接器已使用 Cisco Stealthwatch 7.3.2 版開發
- 安裝並上線Linux或 Windows 的代理程式
在轉送 Cisco Stealthwatch 記錄的伺服器上安裝代理程式。
Linux 或 Windows 代理程式會收集部署在 Linux 或 Windows 伺服器上之 Cisco Stealthwatch Server 的記錄。
- 設定 Cisco Stealthwatch 事件轉送
請遵循下列設定步驟,取得 Cisco Stealthwatch 記錄到 Microsoft Sentinel。
以系統管理員身分登入隱形監看式管理主控台 (SMC)。
在功能表欄中,按兩下 [設定>回應管理]。
從 [回應管理] 功能表中的 [動作] 區段,單擊 [新增 > Syslog 訊息]。
在 [新增 Syslog 訊息動作] 視窗中,設定參數。
輸入下列自定義格式: |Lancope|隱形手錶|7。3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID=={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}
從清單中選取自定義格式,然後按下 [ 確定]
按兩下 [ 回應管理 > 規則]。
按兩下 [ 新增 ],然後選取 [ 主機警示]。
在 [ 名稱 ] 欄位中提供規則名稱。
從 [類型] 和 [選項] 選單選取值,以建立規則。 若要新增更多規則,請按下省略號圖示。 針對主機警示,請儘可能結合語句中的可能類型。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。