適用於 Microsoft Sentinel 的 Cisco Identity Services Engine 連接器
Cisco Identity Services Engine (ISE) 數據連接器提供將 Cisco ISE 事件內嵌至 Microsoft Sentinel 的功能。 它可協助您了解網路中發生的情況,例如誰已連線、哪些應用程式已安裝和執行等等。 如需詳細資訊, 請參閱 Cisco ISE 記錄機制檔 。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
連線 or 屬性 | 描述 |
---|---|
Kusto 函式別名 | CiscoISEEvent |
Kusto 函式 URL | https://aka.ms/sentinel-ciscoise-parser |
Log Analytics 數據表(s) | Syslog(CiscoISE) |
數據收集規則支援 | 工作區轉換 DCR |
支援者: | Microsoft Corporation |
查詢範例
前10個報告裝置
CiscoISEEvent
| summarize count() by DvcHostname
| top 10 by count_
廠商安裝指示
注意
此數據連接器取決於以 Kusto 函式為基礎的剖析器,才能如預期般運作。 請遵循下列步驟 來建立 Kusto Functions 別名 CiscoISEEvent
- 安裝並上線適用於Linux的代理程式
在一般情況下,建議您將代理程式安裝在其他電腦上,而非在產生記錄用的電腦上。
Syslog 記錄只會從 Linux 代理程式收集。
- 設定要收集的記錄
設定您要收集的目標設施及其嚴重性。
在工作區進階設定 [組態] 下,選取 [數據],然後選取 [Syslog]。
選取 [將下列設定套用至我的機器 ],然後選取設施與嚴重性。
按一下 [檔案] 。
設定 Cisco ISE 遠端 Syslog 集合位置
請遵循這些指示 ,在您的 Cisco ISE 部署中設定遠端 syslog 收集位置。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。