[Deprecato] Connettore Cisco Secure Cloud Analytics per Microsoft Sentinel
Importante
La raccolta di log da molti dispositivi e appliance è ora supportata da Common Event Format (CEF) tramite AMA, syslog tramite AMA o log personalizzati tramite il connettore dati AMA in Microsoft Sentinel. Per altre informazioni, vedere Trovare il connettore dati di Microsoft Sentinel.
Il connettore dati Cisco Secure Cloud Analytics offre la possibilità di inserire eventi di Cisco Secure Cloud Analytics in Microsoft Sentinel. Per altre informazioni, vedere la documentazione di Cisco Secure Cloud Analytics.
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
| Attributo connettore | Descrizione |
|---|---|
| Tabelle Log Analytics | Syslog (StealthwatchEvent) |
| Supporto regole di raccolta dati | Trasformazione area di lavoro DCR |
| Supportata da: | Microsoft Corporation |
Esempi di query
Prime 10 origini
StealthwatchEvent
| summarize count() by tostring(DvcHostname)
| top 10 by count_
Istruzioni per l’installazione di Vendor
Nota
Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come StealthwatchEvent previsto distribuito con la soluzione Microsoft Sentinel.
Nota
Questo connettore dati è stato sviluppato con Cisco Secure Cloud Analytics versione 7.3.2
- Installare ed eseguire l'onboarding dell'agente per Linux o Windows
Installare l'agente nel server in cui vengono inoltrati i log di Cisco Secure Cloud Analytics.
I log di Cisco Secure Cloud Analytics Server distribuiti in server Linux o Windows vengono raccolti dagli agenti Linux o Windows.
- Configurare l'inoltro degli eventi di Cisco Secure Cloud Analytics
Seguire la procedura di configurazione seguente per ottenere i log di Cisco Secure Cloud Analytics in Microsoft Sentinel.
Accedere a Stealthwatch Management Console (SMC) come amministratore.
Nella barra dei menu fare clic su Configurazione>Gestione delle risposte.
Nella sezione Azioni del menu Gestione delle risposte fare clic su Aggiungi> Messaggio Syslog.
Nella finestra Aggiungi azione messaggio Syslog configurare i parametri.
Immettere il formato personalizzato seguente: |Lancope |Stealthwatch|7. 3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}}|cat={alarm_category_name}|alarmID ={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}
Selezionare il formato personalizzato dall'elenco e fare clic su OK
Fare clic su Gestione delle risposte > Regole.
Fare clic su Aggiungi e selezionare Allarme host.
Specificare un nome di regola nel campo Nome.
Creare regole selezionando i valori nei menu Tipo e Opzioni. Per aggiungere altre regole, fare clic sull'icona con i puntini di sospensione. Per un allarme host, combinare il maggior numero possibile di tipi in un'istruzione.
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.