Cisco Web Security Appliance-connector voor Microsoft Sentinel
De gegevensconnector van Cisco Web Security Appliance (WSA) biedt de mogelijkheid om Cisco WSA-toegangslogboeken op te nemen in Microsoft Sentinel.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Verbinding maken orkenmerken
| Verbinding maken orkenmerk | Beschrijving |
|---|---|
| Log Analytics-tabellen | Syslog (CiscoWSAEvent) |
| Ondersteuning voor regels voor gegevensverzameling | DCR voor werkruimtetransformatie |
| Ondersteund door | Microsoft Corporation |
Voorbeelden van query's
Top 10 clients (bron-IP)
CiscoWSAEvent
| where notempty(SrcIpAddr)
| summarize count() by SrcIpAddr
| top 10 by count_
Installatie-instructies van leverancier
Notitie
Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie om te werken zoals verwacht CiscoWSAEvent dat is geïmplementeerd met de Microsoft Sentinel-oplossing.
Notitie
Deze gegevensconnector is ontwikkeld met behulp van AsyncOS 14.0 voor Cisco Web Security Appliance
- Configureer Cisco Web Security Appliance om logboeken via Syslog door te sturen naar een externe server waarop u de agent installeert.
Volg deze stappen om Cisco Web Security Appliance te configureren voor het doorsturen van logboeken via Syslog
OPMERKING: Selecteer Syslog Push als methode ophalen.
- De agent voor Linux of Windows installeren en onboarden
Installeer de agent op de server waarop de logboeken worden doorgestuurd.
Logboeken op Linux- of Windows-servers worden verzameld door Linux- of Windows-agents.
- Logboeken controleren in Microsoft Sentinel
Open Log Analytics om te controleren of de logboeken worden ontvangen met behulp van het Syslog-schema.
OPMERKING: het kan tot 15 minuten duren voordat nieuwe logboeken worden weergegeven in de Syslog-tabel.
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.