[已弃用]适用于 Microsoft Sentinel 的 Cisco Secure Cloud Analytics 连接器
重要
现在,Microsoft Sentinel 中的“通过 AMA 的通用事件格式 (CEF)”、“通过 AMA 的 Syslog”或“通过 AMA 的自定义日志”数据连接器支持从许多设备收集日志。 如需详细信息,请参阅查找 Microsoft Sentinel 数据连接器。
通过 Cisco Secure Cloud Analytics 数据连接器,可将 Cisco Secure Cloud Analytics 事件引入 Microsoft Sentinel。 有关详细信息,请参阅 Cisco Secure Cloud Analytics 文档。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | Syslog (StealthwatchEvent) |
| 数据收集规则支持 | 工作区转换 DCR |
| 支持的服务 | Microsoft Corporation |
查询示例
排名前 10 的源
StealthwatchEvent
| summarize count() by tostring(DvcHostname)
| top 10 by count_
供应商安装说明
注意
此数据连接器依赖基于 Kusto 函数的分析程序,作为使用 Microsoft Sentinel 解决方案进行部署的预期 StealthwatchEvent 运行。
注意
此数据连接器是使用 Cisco Secure Cloud Analytics 版本 7.3.2 开发的
- 安装并载入适用于 Linux 或 Windows 的代理
在转发 Cisco Secure Cloud Analytics 日志的服务器上安装此代理。
部署在 Linux 或 Windows 服务器上的 Cisco Secure Cloud Analytics Server 的日志由 Linux 或 Windows 代理收集。
- 配置 Cisco Secure Cloud Analytics 事件转发
按照以下配置步骤将 Cisco Secure Cloud Analytics 日志引入 Microsoft Sentinel。
以管理员身份登录到 Stealthwatch 管理控制台 (SMC)。
在菜单栏中,单击“配置”>“响应管理”。
从“响应管理”菜单中的“操作”部分单击“添加”>“Syslog 消息”。
在“添加 Syslog 消息操作”窗口中,配置参数。
输入以下自定义格式:|Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}
从列表中选择自定义格式,然后单击“确定”
单击“响应管理”>“规则”。
单击“添加”并选择“主机警报”。
在“名称”字段中提供规则名称。
通过从“类型”和“选项”菜单中选择值来创建规则。 若要添加更多规则,请单击省略号图标。 对于“主机警报”,请在语句中组合尽可能多的类型。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。