Connecter Cisco ASA à Azure Sentinel

Cet article explique comment connecter votre appliance Cisco ASA à Azure Sentinel. Le connecteur de données Cisco ASA vous permet de connecter facilement vos journaux Cisco ASA à Azure Sentinel, de consulter des tableaux de bord, de créer des alertes personnalisées et d’améliorer les enquêtes. L’utilisation de Cisco ASA sur Azure Sentinel vous permettra d’obtenir davantage d’informations sur l’utilisation d’Internet au sein de votre organisation et améliorera ses fonctionnalités de sécurité.

Transférer les journaux Cisco ASA à l’agent Syslog

Comme Cisco ASA ne prend pas en charge le format CEF, les journaux sont envoyés en tant que Syslog et l’agent Azure Sentinel les analyse comme s’ils s’agissait de journaux CEF. Configurez Cisco ASA pour transférer les messages Syslog à votre espace de travail Azure par le biais de l’agent Syslog :

  1. accédez à Envoyer des messages Syslog à un serveur Syslog externe et suivez les instructions pour configurer la connexion. Utilisez ces paramètres lorsque vous y êtes invité :

    • définissez le port sur 514 ou le port défini dans l’agent.
    • définissez syslog_ip sur l’adresse IP de l’agent.
  2. Pour utiliser le schéma pertinent dans Log Analytics pour les événements Cisco, recherchez CommonSecurityLog.

  3. Passez à l’ÉTAPE 3 : Valider la connectivité.

Étapes suivantes

Dans ce document, vous avez appris à connecter les appliances Cisco ASA à Azure Sentinel. Pour en savoir plus sur Azure Sentinel, voir les articles suivants :