Соединитель Cisco Stealthwatch для Microsoft Sentinel
Соединитель данных Cisco Stealthwatch предоставляет возможность приема событий Cisco Stealthwatch в Microsoft Sentinel.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | Syslog (StealthwatchEvent) |
| Поддержка правил сбора данных | Преобразование DCR рабочей области |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
Лучшие 10 источников
StealthwatchEvent
| summarize count() by tostring(DvcHostname)
| top 10 by count_
Инструкции по установке поставщика
Примечание.
Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto для работы, как ожидалось , StealthwatchEvent , развернутой с помощью решения Microsoft Sentinel.
Примечание.
Этот соединитель данных разработан с помощью Cisco Stealthwatch версии 7.3.2
- Установка и подключение агента для Linux или Windows
Установите агент на сервере, на котором перенаправляются журналы Cisco Stealthwatch.
Журналы из Cisco Stealthwatch Server, развернутые на серверах Linux или Windows, собираются агентами Linux или Windows .
- Настройка переадресации событий Cisco Stealthwatch
Выполните приведенные ниже действия по настройке, чтобы получить журналы Cisco Stealthwatch в Microsoft Sentinel.
Войдите в консоль управления Stealthwatch (SMC) в качестве администратора.
В строке меню щелкните "Управление ответами конфигурации>".
В разделе "Действия" в меню "Управление ответами" нажмите кнопку "Добавить > сообщение системного журнала".
В окне "Добавление действия сообщения системного журнала" настройте параметры.
Введите следующий пользовательский формат: |Lancope |Стелт-часы|7. 3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}
Выберите настраиваемый формат из списка и нажмите кнопку "ОК"
Щелкните "Правила управления ответами>".
Нажмите кнопку "Добавить" и выберите "Сигнал узла".
Укажите имя правила в поле "Имя ".
Создайте правила, выбрав значения в меню "Тип" и "Параметры". Чтобы добавить дополнительные правила, щелкните значок многоточия. Для оповещения узла необходимо объединить как можно больше типов в операторе.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.