Cisco ASA/FTD через соединитель AMA (предварительная версия) для Microsoft Sentinel
Соединитель брандмауэра Cisco ASA позволяет легко подключать журналы Cisco ASA к Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. В результате вы будете получать больше полезных сведений о сети организации и расширите свои возможности для обеспечения безопасности.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | CommonSecurityLog |
| Поддержка правил сбора данных | DCR агента Azure Monitor |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
Все журналы
CommonSecurityLog
| where DeviceVendor == "Cisco"
| where DeviceProduct in ("ASA", "FTD")
| extend ingestion_time = bin(TimeGenerated, 1m)
| join kind=inner (Heartbeat
| where Category == "Azure Monitor Agent"
| project TimeGenerated, _ResourceId
| summarize by _ResourceId, ingestion_time = bin(TimeGenerated, 1m)) on _ResourceId, ingestion_time
| project-away _ResourceId1, ingestion_time, ingestion_time1
| sort by TimeGenerated
Необходимые компоненты
Чтобы интегрироваться с Cisco ASA/FTD через AMA (предварительная версия), убедитесь, что у вас есть:
- Для сбора данных из виртуальных машин, отличных от Azure, они должны быть установлены и включены в Azure Arc. Подробнее
Инструкции по установке поставщика
Включение правила сбора данных
Журналы событий Cisco ASA/FTD собираются только из агентов Linux .
Выполните следующую команду, чтобы установить и применить сборщик Cisco ASA/FTD:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python Forwarder_AMA_installer.py
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.