Cisco Stealthwatch-anslutningsprogram för Microsoft Sentinel
Cisco Stealthwatch-dataanslutningsappen ger möjlighet att mata in Cisco Stealthwatch-händelser i Microsoft Sentinel.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslut ellerattribut
Anslut ellerattribut | beskrivning |
---|---|
Log Analytics-tabeller | Syslog (StealthwatchEvent) |
Stöd för regler för datainsamling | DcR för arbetsytetransformering |
Stöds av | Microsoft Corporation |
Exempel på frågor
De 10 främsta källorna
StealthwatchEvent
| summarize count() by tostring(DvcHostname)
| top 10 by count_
Installationsanvisningar för leverantör
Kommentar
Den här dataanslutningsappen är beroende av en parser som baseras på en Kusto-funktion för att fungera som förväntat StealthwatchEvent som distribueras med Microsoft Sentinel-lösningen.
Kommentar
Den här dataanslutningsappen har utvecklats med Cisco Stealthwatch version 7.3.2
- Installera och registrera agenten för Linux eller Windows
Installera agenten på servern där Cisco Stealthwatch-loggarna vidarebefordras.
Loggar från Cisco Stealthwatch Server som distribueras på Linux- eller Windows-servrar samlas in av Linux- eller Windows-agenter.
- Konfigurera vidarebefordran av Cisco Stealthwatch-händelser
Följ konfigurationsstegen nedan för att hämta Cisco Stealthwatch-loggar till Microsoft Sentinel.
Logga in på Stealthwatch Management Console (SMC) som administratör.
I menyraden klickar du på Hantering av konfigurationssvar>.
I avsnittet Åtgärder på menyn Svarshantering klickar du på Lägg till > Syslog-meddelande.
I fönstret Lägg till Syslog-meddelandeåtgärd konfigurerar du parametrar.
Ange följande anpassade format: |Lancope|Stealthwatch|7. 3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}||alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}
Välj det anpassade formatet i listan och klicka på OK
Klicka på Svarshanteringsregler>.
Klicka på Lägg till och välj Värdlarm.
Ange ett regelnamn i fältet Namn .
Skapa regler genom att välja värden från menyerna Typ och Alternativ. Om du vill lägga till fler regler klickar du på ellipsikonen. För ett värdlarm kombinerar du så många möjliga typer som möjligt i en instruktion.
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.