Connecter Cisco ASA à Azure SentinelConnect Cisco ASA to Azure Sentinel

Cet article explique comment connecter votre appliance Cisco ASA à Azure Sentinel.This article explains how to connect your Cisco ASA appliance to Azure Sentinel. Le connecteur de données Cisco ASA vous permet de connecter facilement vos journaux Cisco ASA à Azure Sentinel, de consulter des tableaux de bord, de créer des alertes personnalisées et d’améliorer les enquêtes.The Cisco ASA data connector allows you to easily connect your Cisco ASA logs with Azure Sentinel, to view dashboards, create custom alerts, and improve investigation. L’utilisation de Cisco ASA sur Azure Sentinel vous permettra d’obtenir davantage d’informations sur l’utilisation d’Internet au sein de votre organisation et améliorera ses fonctionnalités de sécurité.Using Cisco ASA on Azure Sentinel will provide you more insights into your organization’s Internet usage, and will enhance its security operation capabilities.

FonctionnementHow it works

Vous devez déployer un agent sur une machine Linux dédiée (machine virtuelle ou ordinateur local) afin de prendre en charge les communications entre Cisco ASA et Azure Sentinel.You need to deploy an agent on a dedicated Linux machine (VM or on premises) to support the communication between Cisco ASA and Azure Sentinel. Le diagramme suivant décrit la configuration dans le cas d’une machine virtuelle Linux dans Azure.The following diagram describes the setup in the event of a Linux VM in Azure.

CEF dans Azure

Cette configuration conviendra également si vous utilisez une machine virtuelle dans un autre cloud ou sur un ordinateur local.Alternatively, this setup will exist if you use a VM in another cloud, or an on-premises machine.

CEF local

Considérations relatives à la sécuritéSecurity considerations

Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organisation.Make sure to configure the machine's security according to your organization's security policy. Par exemple, vous pouvez configurer votre réseau de sorte qu’il s’accorde à la stratégie de sécurité de votre réseau d’entreprise, et modifier les ports et les protocoles dans le démon pour les adapter à vos besoins.For example, you can configure your network to align with your corporate network security policy and change the ports and protocols in the daemon to align with your requirements. Vous pouvez utiliser les instructions suivantes pour améliorer la configuration de la sécurité de votre machine :  Sécurisation de la machine virtuelle dans Azure, Bonnes pratiques pour la sécurité réseau.You can use the following instructions to improve your machine security configuration:  Secure VM in Azure, Best practices for Network security.

Pour utiliser la communication TLS entre la solution de sécurité et la machine Syslog, vous devez configurer le démon Syslog (rsyslog or syslog-ng) pour communiquer avec le TLS : Chiffrement du trafic Syslog avec TLS –rsyslog, Chiffrement des messages du journal avec TLS – syslog-ng.To use TLS communication between the security solution and the Syslog machine, you will need to configure the Syslog daemon (rsyslog or syslog-ng) to communicate in TLS: Encrypting Syslog Traffic with TLS -rsyslog, Encrypting log messages with TLS –syslog-ng.

PrérequisPrerequisites

Assurez-vous que la machine Linux que vous utilisez en tant que proxy exécute l’un des systèmes d’exploitation suivants :Make sure the Linux machine you use as a proxy is running one of the following operating systems:

  • 64 bits64-bit

    • CentOS 6 et 7CentOS 6 and 7
    • Amazon Linux 2017.09Amazon Linux 2017.09
    • Oracle Linux 6 et 7Oracle Linux 6 and 7
    • Red Hat Enterprise Linux Server 6 et 7Red Hat Enterprise Linux Server 6 and 7
    • Debian GNU/Linux 8 et 9Debian GNU/Linux 8 and 9
    • Ubuntu Linux 14.04 LTS, 16.04 LTS et 18.04 LTSUbuntu Linux 14.04 LTS, 16.04 LTS and 18.04 LTS
    • SUSE Linux Enterprise Server 12SUSE Linux Enterprise Server 12
  • 32 bits32-bit

    • CentOS 6CentOS 6
    • Oracle Linux 6Oracle Linux 6
    • Red Hat Enterprise Linux Server 6Red Hat Enterprise Linux Server 6
    • Debian GNU/Linux 8 et 9Debian GNU/Linux 8 and 9
    • Ubuntu Linux 14.04 LTS et 16.04 LTSUbuntu Linux 14.04 LTS and 16.04 LTS
  • Versions du démonDaemon versions

    • Syslog-ng : 2.1 - 3.22.1Syslog-ng: 2.1 - 3.22.1
    • Rsyslog : v8Rsyslog: v8
  • RFC Syslog pris en chargeSyslog RFCs supported

    • RFC Syslog 3164Syslog RFC 3164
    • RFC Syslog 5424Syslog RFC 5424

Assurez-vous que votre machine répond également aux exigences suivantes :Make sure your machine also meets the following requirements:

  • AutorisationsPermissions
    • Vous devez disposer d’autorisations élevées (sudo) sur votre machine.You must have elevated permissions (sudo) on your machine.
  • Configuration logicielle requiseSoftware requirements
    • Vérifiez que Python est en cours d’exécution sur votre machineMake sure you have Python running on your machine

ÉTAPE 1 : Déployer l’agentSTEP 1: Deploy the agent

Au cours de cette étape, vous devez sélectionner la machine Linux qui fera office de proxy entre Azure Sentinel et votre solution de sécurité.In this step, you need to select the Linux machine that will act as a proxy between Azure Sentinel and your security solution. Vous devez exécuter un script sur la machine proxy qui :You will have to run a script on the proxy machine that:

  • Installe l’agent Log Analytics et le configure en fonction des besoins pour écouter les messages Syslog sur le port 514 via TCP et envoyer les messages CEF à votre espace de travail Azure Sentinel.Installs the Log Analytics agent and configures it as needed to listen for Syslog messages on port 514 over TCP and send the CEF messages to your Azure Sentinel workspace.
  • Configure le démon Syslog pour transférer les messages CEF à l’agent Log Analytics via le port 25226.Configures the Syslog daemon to forward CEF messages to the Log Analytics agent using port 25226.
  • Configure l’agent Syslog pour collecter les données et les envoyer en toute sécurité à Log Analytics, où elles sont analysées et enrichies.Sets the Syslog agent to collect the data and send it securely to Log Analytics, where it is parsed and enriched.
  1. Dans le portail Azure Sentinel, cliquez sur Data Connectors (Connecteurs de données) et sélectionnez Cisco ASA (Cisco ASA), puis Open Connector Page (Ouvrir la page du connecteur).In the Azure Sentinel portal, click Data connectors and select Cisco ASA and then Open connector page.

  2. Sous Installer et configurer l’agent Syslog, sélectionnez le type de votre machine (Azure, autre cloud ou locale).Under Install and configure the Syslog agent, select your machine type, either Azure, other cloud, or on-premises.

    Notes

    Étant donné que le script de l’étape suivante installe l’agent Log Analytics et connecte la machine à votre espace de travail Azure Sentinel, vérifiez que cette machine n’est pas connectée à un autre espace de travail.Because the script in the next step installs the Log Analytics agent and connects the machine to your Azure Sentinel workspace, make sure this machine is not connected to any other workspace.

  3. Vous devez disposer d’autorisations élevées (sudo) sur votre machine.You must have elevated permissions (sudo) on your machine. Vérifiez que vous disposez de Python sur votre machine à l’aide de la commande suivante : python –versionMake sure that you have Python on your machine using the following command: python –version

  4. Exécutez le script suivant sur votre machine proxy.Run the following script on your proxy machine. sudo wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [WorkspaceID] [Workspace Primary Key]

  5. Pendant l’exécution du script, vérifiez que vous ne recevez pas de messages d’erreur ou d’avertissement.While the script is running, check to make sure you don't get any error or warning messages.

ÉTAPE 2 : Transférer les journaux Cisco ASA à l’agent SyslogSTEP 2: Forward Cisco ASA logs to the Syslog agent

Comme Cisco ASA ne prend pas en charge le format CEF, les journaux sont envoyés en tant que Syslog et l’agent Azure Sentinel les analyse comme s’ils s’agissait de journaux CEF.Cisco ASA doesn't support CEF, so the logs are sent as Syslog and the Azure Sentinel agent knows how to parse them as if they are CEF logs. Configurez Cisco ASA pour transférer les messages Syslog à votre espace de travail Azure par le biais de l’agent Syslog :Configure Cisco ASA to forward Syslog messages to your Azure workspace via the Syslog agent:

accédez à Envoyer des messages Syslog à un serveur Syslog externe et suivez les instructions pour configurer la connexion.Go to Send Syslog messages to an external Syslog server, and follow the instructions to set up the connection. Utilisez ces paramètres lorsque vous y êtes invité :Use these parameters when prompted:

  • définissez le port sur 514 ou le port défini dans l’agent.Set port to 514 or the port you set in the agent.
  • définissez syslog_ip sur l’adresse IP de l’agent.Set syslog_ip to the IP address of the agent.

Pour utiliser le schéma pertinent dans Log Analytics pour les événements Cisco, recherchez CommonSecurityLog.To use the relevant schema in Log Analytics for the Cisco events, search for CommonSecurityLog.

ÉTAPE 3 : Valider la connectivitéSTEP 3: Validate connectivity

  1. Ouvrez Log Analytics pour vous assurer que les journaux sont reçus à l’aide du schéma CommonSecurityLog.Open Log Analytics to make sure that logs are received using the CommonSecurityLog schema.
    Plus de 20 minutes peuvent être nécessaires avant que vos journaux ne commencent à apparaître dans Log Analytics.It may take upwards of 20 minutes until your logs start to appear in Log Analytics.

  2. Avant d’exécuter le script, nous vous recommandons d’envoyer des messages à partir de votre solution de sécurité pour vous assurer qu’ils sont transmis à la machine proxy Syslog que vous avez configurée.Before you run the script, we recommend that you send messages from your security solution to make sure they are being forwarded to the Syslog proxy machine you configured.

  3. Vous devez disposer d’autorisations élevées (sudo) sur votre machine.You must have elevated permissions (sudo) on your machine. Vérifiez que vous disposez de Python sur votre machine à l’aide de la commande suivante : python –versionMake sure that you have Python on your machine using the following command: python –version

  4. Exécutez le script suivant pour vérifier la connectivité entre l’agent, Azure Sentinel et votre solution de sécurité.Run the following script to check connectivity between the agent, Azure Sentinel, and your security solution. Celui-ci vérifie que le transfert de démon est correctement configuré, écoute les ports appropriés et s’assure que rien ne bloque la communication entre le démon et l’agent Log Analytics.It checks that the daemon forwarding is properly configured, listens on the correct ports, and that nothing is blocking communication between the daemon and the Log Analytics agent. Le script envoie également des messages fictifs « TestCommonEventFormat » pour vérifier la connectivité de bout en bout.The script also sends mock messages 'TestCommonEventFormat' to check end-to-end connectivity.
    sudo wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [WorkspaceID]

Étapes suivantesNext steps

Dans ce document, vous avez appris à connecter les appliances Cisco ASA à Azure Sentinel.In this document, you learned how to connect Cisco ASA appliances to Azure Sentinel. Pour en savoir plus sur Azure Sentinel, voir les articles suivants :To learn more about Azure Sentinel, see the following articles: