Konektor Cisco Stealthwatch pro Microsoft Sentinel

  • Článek

Datový konektor Cisco Stealthwatch poskytuje schopnost ingestovat události Cisco Stealthwatch do Microsoft Sentinelu.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

atributy Připojení oru

atribut Připojení or Popis
Tabulky Log Analytics Syslog (StealthwatchEvent)
Podpora pravidel shromažďování dat Transformace pracovního prostoru – DCR
Podporováno Microsoft Corporation

Ukázky dotazů

Prvních 10 zdrojů

StealthwatchEvent

| summarize count() by tostring(DvcHostname)

| top 10 by count_

Pokyny k instalaci dodavatele

Poznámka:

Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání StealthwatchEvent , která se nasazuje s řešením Microsoft Sentinel.

Poznámka:

Tento datový konektor byl vyvinut pomocí Cisco Stealthwatch verze 7.3.2.

  1. Instalace a onboarding agenta pro Linux nebo Windows

Nainstalujte agenta na server, kde se předávají protokoly Cisco Stealthwatch.

Protokoly z Cisco Stealthwatch Serveru nasazeného na serverech s Linuxem nebo Windows shromažďují agenti Linuxu nebo Windows .

  1. Konfigurace předávání událostí Cisco Stealthwatch

Pomocí následujících kroků konfigurace získejte protokoly Cisco Stealthwatch do Microsoft Sentinelu.

  1. Přihlaste se ke konzole pro správu Stealthwatch (SMC) jako správce.

  2. Na řádku nabídek klikněte na Správa odpovědí konfigurace>.

  3. V části Akce v nabídce Správa odpovědí klepněte na tlačítko Přidat > zprávu Syslog.

  4. V okně Akce přidat zprávu Syslog nakonfigurujte parametry.

  5. Zadejte následující vlastní formát: |Lancope|Stealthwatch|7. 3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exportérName={exporter_hostname}|exportérIPAddress={exporter_ip}|exportérInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}

  6. V seznamu vyberte vlastní formát a klikněte na TLAČÍTKO OK.

  7. Klikněte na pravidla správy > odpovědí.

  8. Klikněte na Přidat a vyberte Alarm hostitele.

  9. Do pole Název zadejte název pravidla.

  10. Vytvořte pravidla výběrem hodnot z nabídek Typ a Možnosti. Pokud chcete přidat další pravidla, klikněte na ikonu tří teček. V případě alarmu hostitele zkombinujte co nejvíce možných typů v příkazu.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.