Conector Cisco Stealthwatch para Microsoft Sentinel

  • Artículo

El conector de datos Cisco Stealthwatch proporciona la capacidad de ingerir eventos de Cisco Stealthwatch en Microsoft Sentinel.

Atributos del conector

Atributo del conector Descripción
Tabla de Log Analytics Syslog (StealthwatchEvent)
Compatibilidad con reglas de recopilación de datos DCR de transformación del área de trabajo
Compatible con Microsoft Corporation

Ejemplos de consultas

Principales 10 orígenes

StealthwatchEvent

| summarize count() by tostring(DvcHostname)

| top 10 by count_

Instrucciones de instalación del proveedor

Nota

Este conector de datos depende de un analizador basado en una función de Kusto para funcionar según lo previsto en Cisco StealthwatchEvent, que se implementa con la solución Microsoft Sentinel.

Nota:

Este conector de datos se ha desarrollado con Cisco Stealthwatch, versión 7.3.2.

  1. Instalación e incorporación del agente para Linux o Windows

Instale el agente en el servidor donde se reenvían los registros de Cisco Stealthwatch.

Los registros de Cisco Stealthwatch Server implementados en servidores Linux o Windows los recopilan los agentes de Linux o Windows.

  1. Configuración del reenvío de eventos de Cisco Stealthwatch

Siga estos pasos de configuración para obtener los registros de Cisco Stealthwatch en Microsoft Sentinel.

  1. Inicie sesión en la Consola de administración de Stealthwatch (SMC) como administrador.

  2. En la barra de menú, haga clic en Configuration>Response Management.

  3. En la sección Actions del menú Response Management, haga clic en Add > Syslog Message.

  4. En la ventana Add Syslog Message, configure los parámetros.

  5. Escriba el siguiente formato personalizado: |Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}

  6. Seleccione el formato personalizado de la lista y haga clic en OK.

  7. Haga clic en Response Management > Rules.

  8. Haga clic en Add y seleccione Host Alarm.

  9. Escriba un nombre de regla en el campo Name.

  10. Seleccione valores en los menús Type y Options para crear reglas. Para agregar más reglas, haga clic en el icono de puntos suspensivos. Para una alarma de host, combine todos los tipos posibles en una instrucción.

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.