Cisco ASA/FTD a Microsoft Sentinel AMA (előzetes verzió) összekötőjével
A Cisco ASA tűzfal-összekötővel egyszerűen csatlakoztathatja Cisco ASA-naplóit a Microsoft Sentinelhez, megtekintheti az irányítópultokat, egyéni riasztásokat hozhat létre, és javíthatja a vizsgálatot. Ez további betekintést nyújt a szervezet hálózatába, és javítja a biztonsági üzemeltetési képességeket.
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Csatlakozás or attribútumok
Csatlakozás or attribútum | Leírás |
---|---|
Log Analytics-tábla(ok) | CommonSecurityLog |
Adatgyűjtési szabályok támogatása | Azure Monitor Agent DCR |
Támogatja: | Microsoft Corporation |
Példák lekérdezésekre
Minden napló
CommonSecurityLog
| where DeviceVendor == "Cisco"
| where DeviceProduct in ("ASA", "FTD")
| extend ingestion_time = bin(TimeGenerated, 1m)
| join kind=inner (Heartbeat
| where Category == "Azure Monitor Agent"
| project TimeGenerated, _ResourceId
| summarize by _ResourceId, ingestion_time = bin(TimeGenerated, 1m)) on _ResourceId, ingestion_time
| project-away _ResourceId1, ingestion_time, ingestion_time1
| sort by TimeGenerated
Előfeltételek
A Cisco ASA/FTD AMA-n (előzetes verzió) keresztüli integrálásához győződjön meg arról, hogy az alábbiakkal rendelkezik:
- Ha nem Azure-beli virtuális gépekről szeretne adatokat gyűjteni, telepítenie és engedélyeznie kell az Azure Arcot. További információ
Szállító telepítési útmutatója
Adatgyűjtési szabály engedélyezése
A Cisco ASA/FTD eseménynaplók csak Linux-ügynököktől gyűjthetők.
Futtassa a következő parancsot a Cisco ASA/FTD gyűjtő telepítéséhez és alkalmazásához:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python Forwarder_AMA_installer.py
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.