適用於 Microsoft Sentinel 的 Cisco ASA/FTD 透過 AMA (預覽) 連接器
Cisco ASA 防火牆連接器可讓您輕鬆地將 Cisco ASA 記錄與 Microsoft Sentinel 連線,以檢視儀錶板、建立自定義警示,以及改善調查。 這可讓您深入瞭解組織的網路,並改善安全性作業功能。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
| 連線 or 屬性 | 描述 |
|---|---|
| Log Analytics 數據表(s) | CommonSecurityLog |
| 數據收集規則支援 | Azure 監視器代理程式 DCR |
| 支援者: | Microsoft Corporation |
查詢範例
所有記錄
CommonSecurityLog
| where DeviceVendor == "Cisco"
| where DeviceProduct in ("ASA", "FTD")
| extend ingestion_time = bin(TimeGenerated, 1m)
| join kind=inner (Heartbeat
| where Category == "Azure Monitor Agent"
| project TimeGenerated, _ResourceId
| summarize by _ResourceId, ingestion_time = bin(TimeGenerated, 1m)) on _ResourceId, ingestion_time
| project-away _ResourceId1, ingestion_time, ingestion_time1
| sort by TimeGenerated
必要條件
若要透過 AMA 與 Cisco ASA/FTD 整合(預覽版),請確定您有:
- 若要從非 Azure VM 收集數據,它們必須安裝並啟用 Azure Arc。 深入了解
廠商安裝指示
啟用數據收集規則
Cisco ASA/FTD 事件記錄檔只會從 Linux 代理程式收集。
執行下列命令來安裝和套用 Cisco ASA/FTD 收集器:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python Forwarder_AMA_installer.py
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。