Microsoft Sentinel 用 Cisco UCS コネクタ
Cisco Unified Computing System (UCS) コネクタを使用すると、Cisco UCS ログを Microsoft Sentinel に簡単に接続できます。これにより、組織のネットワークに関するより詳細な分析情報が得られ、セキュリティ操作機能が向上します。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | Syslog (CiscoUCS) |
| データ収集ルールのサポート | ワークスペース変換 DCR |
| サポートしているもの | Microsoft Corporation |
クエリのサンプル
監査イベントの上位 10 件のターゲット ユーザー名
CiscoUCS
| where Mneumonic == "AUDIT"
| summarize count() by DstUserName
| top 10 by DstUserName
監査イベントを生成している上位 10 台のデバイス
CiscoUCS
| where Mneumonic == "AUDIT"
| summarize count() by Computer
| top 10 by Computer
前提条件
Cisco UCS と統合するには、次のことを確認してください。
- Cisco UCS: Syslog を使用してログをエクスポートするように構成する必要があります。
ベンダーのインストール手順
注: このデータ コネクタは、ソリューションの一部としてデプロイされている Kusto 関数に基づくパーサーを利用して正常に動作します。 Log Analytics で関数コードを表示するには、Log Analytics/Microsoft Sentinel ログ ブレードを開き、[関数] をクリックしてエイリアス CiscoUCS を検索し、関数コードを読み込むか、ここをクリックします。 この関数は、通常、ソリューションのインストール/更新後にアクティブ化されるまでに 10 分から 15 分かかります。
- Linux 用エージェントをインストールおよびオンボードする
一般的に、エージェントは、ログが生成されるコンピューターとは別のコンピューターにインストールする必要があります。
Syslog ログは Linux エージェントからのみ収集されます。
- 収集するログを構成する
収集するファシリティとその重要度を構成します。
ワークスペースの詳細設定の [構成] で、[データ] を選択し、[Syslog] を選択します。
[下の構成をコンピューターに適用する] を選択し、ファシリティと重要度を選択します。
[保存] をクリックします。
Cisco UCS を構成して接続する
こちらの指示に従って、Syslog を転送するように Cisco UCS を構成します。 Linux エージェントがインストールされている Linux デバイスの IP アドレスまたはホスト名を接続先 IP アドレスとして使用します。
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。