[已淘汰]適用於 Microsoft Sentinel 的 Cisco Secure Cloud Analytics 連接器

重要

許多設備與裝置的記錄收集現在都透過下列項目支援：透過 AMA 的常見事件格式 (CEF)、透過 AMA 的 Syslog，或透過 Microsoft Sentinel 中 AMA 資料連接器的自訂記錄。如需詳細資訊，請參閱尋找您的 Microsoft Sentinel 資料連接器。

Cisco Secure Cloud Analytics 資料連接器提供將 Cisco Secure Cloud Analytics 事件內嵌至 Microsoft Sentinel 的功能。如需詳細資訊，請參閱 Cisco Secure Cloud Analytics 文件。

這是自動產生的內容。如需變更，請連絡解決方案提供者。

連接器屬性

前 10 名來源

StealthwatchEvent

| summarize count() by tostring(DvcHostname)

| top 10 by count_

注意

此資料連接器依賴以 Kusto 函式為基礎的剖析器，運作方式預期如同透過 Microsoft Sentinel 解決方案部署的 StealthwatchEvent。

注意

此資料連接器已使用 Cisco Secure Cloud Analytics 7.3.2 版開發

在轉送 Cisco Secure Cloud Analytics 記錄的伺服器上安裝代理程式。

Linux 或 Windows 代理程式會收集部署在 Linux 或 Windows 伺服器上之 Cisco Secure Cloud Analytics Serve 的記錄。

請遵循下列設定步驟，將 Cisco Secure Cloud Analytics 記錄存入 Microsoft Sentinel。

以系統管理員身分登入 Stealthwatch 管理主控台 (SMC)。
在功能表列中，按一下 [組態]>[回應管理]。
在 [回應管理] 功能表的 [動作] 區段中，按一下 [新增] > [Syslog 訊息]。
在 [新增 Syslog 訊息動作] 視窗中，設定參數。
輸入下列自訂格式：|Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}
從清單中選取自訂格式，然後按一下 [確定]
按一下 [回應管理] > [規則]。
按一下 [新增]，然後選取 [主機警示]。
在 [名稱] 欄位中提供規則名稱。
從 [類型] 和 [選項] 功能表中選取值，以建立規則。若要新增更多規則，請按一下省略符號圖示。針對主機警示，請在陳述中儘可能結合可能的類型。

如需詳細資訊，請移至 Azure Marketplace 中的相關解決方案 (英文)。