Conector do Cisco Web Security Appliance para o Microsoft Sentinel
O conector de dados do Cisco Web Security Appliance (WSA) fornece a capacidade de ingerir Logs de Acesso do Cisco WSA no Microsoft Sentinel.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | Syslog (CiscoWSAEvent) |
| Suporte às regras de coleta de dados | DCR de transformação do espaço de trabalho |
| Com suporte por | Microsoft Corporation |
Exemplos de consulta
10 Principais Clientes (IP de Origem)
CiscoWSAEvent
| where notempty(SrcIpAddr)
| summarize count() by SrcIpAddr
| top 10 by count_
Instruções de instalação do fornecedor
Observação
Esse conector de dados depende de um analisador baseado em uma Função do Kusto para funcionar como esperado, o CiscoWSAEvent, que é implantado com a Solução Microsoft Sentinel.
Observação
Esse conector de dados foi desenvolvido usando o AsyncOS 14.0 para o Cisco Web Security Appliance
- Configure o Cisco Web Security Appliance para encaminhar logs por meio do Syslog para o servidor remoto no qual você instalará o agente.
Siga essas etapas para configurar o Cisco Web Security Appliance para encaminhar logs por meio do Syslog
OBSERVAÇÃO: selecione Syslog Push como um Método de Recuperação.
- Instalar e integrar o agente para Linux ou Windows
Instale o agente no Servidor para o qual os logs serão encaminhados.
Os logs nos servidores Linux ou Windows são coletados por agentes do Linux ou do Windows.
- Verifique os logs no Microsoft Sentinel
Abra a Análise de Logs para verificar se os logs são recebidos usando o esquema do Syslog.
OBSERVAÇÃO: pode levar até 15 minutos para que os novos logs apareçam na tabela do Syslog.
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.