Microsoft Sentinel용 AMA(미리 보기) 커넥터를 통한 Cisco ASA/FTD

아티클
04/30/2024

Cisco ASA 방화벽 커넥터를 사용하면 Cisco ASA 로그를 Microsoft Sentinel과 쉽게 연결하여 대시보드를 보고, 사용자 지정 경고를 만들고, 조사를 개선할 수 있습니다. 이를 통해 조직의 네트워크 내부의 인사이트를 파악해, 보안 작업 기능이 향상됩니다.

자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.

커넥터 특성

커넥터 특성	설명
Log Analytics 테이블	CommonSecurityLog
데이터 수집 규칙 지원	Azure Monitor 에이전트 DCR
다음에서 지원	Microsoft Corporation

쿼리 샘플

모든 로그

CommonSecurityLog

| where DeviceVendor == "Cisco"

| where DeviceProduct in ("ASA", "FTD")

| extend ingestion_time = bin(TimeGenerated, 1m)

| join kind=inner (Heartbeat 

| where Category == "Azure Monitor Agent" 

| project TimeGenerated, _ResourceId

| summarize by _ResourceId, ingestion_time = bin(TimeGenerated, 1m)) on _ResourceId, ingestion_time

| project-away  _ResourceId1, ingestion_time, ingestion_time1 
         
| sort by TimeGenerated

필수 조건

AMA(미리 보기)를 통해 Cisco ASA/FTD와 통합하려면 다음이 있는지 확인합니다.

Azure가 아닌 VM에서 데이터를 수집하려면 Azure Arc를 설치하고 사용하도록 설정해야 합니다. 자세한 정보

공급업체 설치 지침

데이터 수집 규칙 사용

Cisco ASA/FTD 이벤트 로그는 Linux 에이전트에서만 수집됩니다.

다음 명령을 실행하여 Cisco ASA/FTD 수집기를 설치하고 적용합니다.

sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python Forwarder_AMA_installer.py

다음 단계

자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.

다음을 통해 공유