Microsoft Sentinel için AMA (Önizleme) bağlayıcısı aracılığıyla Cisco ASA/FTD
Cisco ASA güvenlik duvarı bağlayıcısı, panoları görüntülemek, özel uyarılar oluşturmak ve araştırmayı geliştirmek için Cisco ASA günlüklerinizi Microsoft Sentinel'e kolayca bağlamanızı sağlar. Bu, kuruluşunuzun ağı hakkında daha fazla içgörü sağlar ve güvenlik işlemi özelliklerinizi geliştirir.
Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.
Bağlan or öznitelikleri
Bağlan or özniteliği | Açıklama |
---|---|
Log Analytics tabloları | CommonSecurityLog |
Veri toplama kuralları desteği | Azure İzleyici Aracısı DCR |
Destekleyen: | Microsoft Corporation |
Sorgu örnekleri
Tüm günlükler
CommonSecurityLog
| where DeviceVendor == "Cisco"
| where DeviceProduct in ("ASA", "FTD")
| extend ingestion_time = bin(TimeGenerated, 1m)
| join kind=inner (Heartbeat
| where Category == "Azure Monitor Agent"
| project TimeGenerated, _ResourceId
| summarize by _ResourceId, ingestion_time = bin(TimeGenerated, 1m)) on _ResourceId, ingestion_time
| project-away _ResourceId1, ingestion_time, ingestion_time1
| sort by TimeGenerated
Önkoşullar
AMA (Önizleme) aracılığıyla Cisco ASA/FTD ile tümleştirmek için aşağıdakilere sahip olduğunuzdan emin olun:
- Azure olmayan VM'lerden veri toplamak için Azure Arc'ın yüklü ve etkin olması gerekir. Daha fazla bilgi edinin
Satıcı yükleme yönergeleri
Veri toplama kuralını etkinleştirme
Cisco ASA/FTD olay günlükleri yalnızca Linux aracılarından toplanır.
Cisco ASA/FTD toplayıcısını yüklemek ve uygulamak için aşağıdaki komutu çalıştırın:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python Forwarder_AMA_installer.py
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.