Konektor Cisco ASA untuk Microsoft Azure Sentinel
Konektor firewall Cisco ASA memungkinkan Anda untuk dengan mudah menghubungkan log Cisco ASA Anda dengan Microsoft Sentinel, untuk melihat dasbor, membuat pemberitahuan kustom, dan meningkatkan penyelidikan. Hal ini memberikan lebih banyak wawasan tentang jaringan organisasi dan meningkatkan kemampuan operasi keamanan Anda.
Atribut konektor
| Atribut konektor | Deskripsi |
|---|---|
| Tabel Log Analytics | CommonSecurityLog (Cisco) |
| Dukungan aturan pengumpulan data | DCR transformasi ruang kerja |
| Didukung oleh | Microsoft Corporation |
Kueri sampel
Semua Log
CommonSecurityLog​
| where DeviceVendor =~ "Cisco"
| where DeviceProduct == "ASA"
| sort by TimeGenerated
Menolak tindakan perangkat
CommonSecurityLog​
| where DeviceVendor =~ "Cisco"
| where DeviceProduct == "ASA"
| where SimplifiedDeviceAction == "Deny"
| sort by TimeGenerated
Instruksi penginstalan vendor
- Konfigurasi agen Linux Syslog
Instal dan konfigurasikan agen Linux untuk mengumpulkan pesan Syslog Common Event Format (CEF) Anda dan meneruskannya ke Microsoft Sentinel.
Perhatikan bahwa data dari semua wilayah akan disimpan di ruang kerja yang dipilih
1.1 Memilih atau membuat komputer Linux
Pilih atau buat komputer Linux yang akan digunakan Microsoft Azure Sentinel sebagai proksi antara solusi keamanan Anda dan Microsoft Azure Sentinel komputer ini dapat berada di lingkungan lokal Anda, Azure, atau cloud lainnya.
1.2 Pasang kolektor CEF di komputer Linux
Instal Microsoft Monitoring Agent di komputer Linux Anda dan konfigurasikan komputer untuk mendengarkan port yang diperlukan dan meneruskan pesan ke ruang kerja Microsoft Azure Sentinel Anda. Kolektor CEF mengumpulkan pesan CEF di port 514 TCP.
- Pastikan Anda memiliki Python di komputer Anda menggunakan perintah berikut: python --version.
- Anda harus memiliki izin yang lebih tinggi (sudo) pada mesin Anda.
Jalankan perintah berikut untuk menginstal dan menerapkan pengumpul CEF:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Meneruskan log Cisco ASA ke agen Syslog
Konfigurasikan Cisco ASA untuk meneruskan pesan Syslog dalam format CEF ke ruang kerja Microsoft Azure Sentinel Anda melalui agen Syslog.
Buka Kirim pesan Syslog ke server Syslog eksternal, dan ikuti instruksi untuk menyiapkan koneksi. Gunakan parameter ini saat diminta:
- Atur "port" ke 514.
- Atur "syslog_ip" ke alamat IP agen Syslog.
- Validasi koneksi
Ikuti petunjuk untuk memvalidasi konektivitas Anda:
Buka Analitik Log untuk memeriksa apakah log diterima menggunakan skema CommonSecurityLog.
Mungkin perlu waktu sekitar 20 menit hingga koneksi mengalirkan data ke ruang kerja Anda.
Jika log tidak diterima, jalankan skrip validasi konektivitas berikut:
- Pastikan Anda memiliki Python di komputer Anda menggunakan perintah berikut: python --version
- Anda harus memiliki izin yang ditingkatkan (sudo) pada komputer Anda
Jalankan perintah berikut untuk memvalidasi konektivitas Anda:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Mengamankan komputer Anda
Pastikan untuk mengonfigurasi keamanan komputer sesuai dengan kebijakan keamanan organisasi Anda
Langkah berikutnya
Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.