Поделиться через


Cisco ASA/FTD через соединитель AMA (предварительная версия) для Microsoft Sentinel

Соединитель брандмауэра Cisco ASA позволяет легко подключать журналы Cisco ASA к Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. В результате вы будете получать больше полезных сведений о сети организации и расширите свои возможности для обеспечения безопасности.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics CommonSecurityLog
Поддержка правил сбора данных DCR агента Azure Monitor
Поддерживается Корпорация Майкрософт

Примеры запросов

Все журналы

CommonSecurityLog

| where DeviceVendor == "Cisco"

| where DeviceProduct in ("ASA", "FTD")

| extend ingestion_time = bin(TimeGenerated, 1m)

| join kind=inner (Heartbeat 

| where Category == "Azure Monitor Agent" 

| project TimeGenerated, _ResourceId

| summarize by _ResourceId, ingestion_time = bin(TimeGenerated, 1m)) on _ResourceId, ingestion_time

| project-away  _ResourceId1, ingestion_time, ingestion_time1 
         
| sort by TimeGenerated

Необходимые компоненты

Чтобы интегрироваться с Cisco ASA/FTD через AMA (предварительная версия), убедитесь, что у вас есть:

  • Для сбора данных из виртуальных машин, отличных от Azure, они должны быть установлены и включены в Azure Arc. Подробнее

Инструкции по установке поставщика

Включение правила сбора данных

Журналы событий Cisco ASA/FTD собираются только из агентов Linux .

Выполните следующую команду, чтобы установить и применить сборщик Cisco ASA/FTD:

sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python Forwarder_AMA_installer.py

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.