[Obsoleto] Conector do Cisco Secure Cloud Analytics para Microsoft Sentinel
Importante
A coleta de logs de vários aparelhos e dispositivos agora tem suporte no Formato Comum de Evento (CEF) via AMA, Syslog via AMA, ou Logs Personalizados via conector de dados AMA no Microsoft Sentinel. Para obter mais informações, consulte Encontrar seu conector de dados do Microsoft Sentinel.
O conector de dados Cisco Secure Cloud Analytics fornece a capacidade de ingerir eventos Cisco Secure Cloud Analytics no Microsoft Sentinel. Consulte a documentação do Cisco Secure Cloud Analytics para obter mais informações.
Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | Syslog (StealthwatchEvent) |
| Suporte às regras de coleta de dados | DCR de transformação do espaço de trabalho |
| Com suporte por | Microsoft Corporation |
Exemplos de consulta
10 Principais Fontes
StealthwatchEvent
| summarize count() by tostring(DvcHostname)
| top 10 by count_
Instruções de instalação do fornecedor
Observação
Esse conector de dados depende de um analisador baseado em uma função Kusto para funcionar como esperado, StealthwatchEvent, que é implantada com a solução Microsoft Sentinel.
Observação
Esse conector de dados foi desenvolvido usando o Cisco Secure Cloud Analytics versão 7.3.2
- Instalar e integrar o agente para Linux ou Windows
Instale o agente no servidor para onde os logs do Cisco Secure Cloud Analytics são encaminhados.
Os logs do Cisco Secure Cloud Analytics Server implantados em servidores Linux ou Windows são coletados por agentes Linux ou Windows.
- Configurar o encaminhamento de eventos do Cisco Secure Cloud Analytics
Siga as etapas de configuração abaixo para obter logs do Cisco Secure Cloud Analytics no Microsoft Sentinel.
Entre no SMC (Stealthwatch Management Console) como administrador.
Na barra de menus, clique em Configuração > Gerenciamento de Resposta.
Na seção Ações no menu Gerenciamento de Resposta, clique em Adicionar > Mensagem do Syslog.
Na janela Adicionar Ação de Mensagem do Syslog, configure os parâmetros.
Insira o seguinte formato personalizado: |Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}
Selecione o formato personalizado na lista e clique em OK
Clique em Regras de Gerenciamento > Resposta.
Clique em Adicionar e selecione Alarme do Host.
Forneça um nome de regra no campoNome.
Crie regras selecionando valores nos menus Tipo e Opções. Para adicionar mais regras, clique no ícone de reticências. Para um Alarme de Host, combine o máximo possível de tipos em uma instrução.
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.