Microsoft Sentinel için Cisco Firepower eStreamer bağlayıcısı
eStreamer, Cisco Firepower NGFW Çözümü için tasarlanmış bir İstemci Sunucu API'sidir. eStreamer istemcisi, Ortak Olay Biçimi'nde (CEF) SIEM veya günlüğe kaydetme çözümü adına ayrıntılı olay verileri ister.
Bağlan or öznitelikleri
Bağlan or özniteliği | Açıklama |
---|---|
Log Analytics tabloları | CommonSecurityLog (CiscoFirepowerEstreamerCEF) |
Veri toplama kuralları desteği | Çalışma alanı dönüştürme DCR |
Destekleyen: | Cisco |
Sorgu örnekleri
Güvenlik Duvarı Engellenen Olaylar
CommonSecurityLog
| where DeviceVendor == "Cisco"
| where DeviceProduct == "Firepower"
| where DeviceAction != "Allow"
Dosya Kötü Amaçlı Yazılım Olayları
CommonSecurityLog
| where DeviceVendor == "Cisco"
| where DeviceProduct == "Firepower"
| where Activity == "File Malware Event"
Giden Web Trafiği Bağlantı Noktası 80
CommonSecurityLog
| where DeviceVendor == "Cisco"
| where DeviceProduct == "Firepower"
| where DestinationPort == "80"
Satıcı yükleme yönergeleri
- Linux Syslog aracısı yapılandırması
Ortak Olay Biçimi (CEF) Syslog iletilerinizi toplamak ve Bunları Microsoft Sentinel'e iletmek için Linux aracısını yükleyin ve yapılandırın.
Tüm bölgelerdeki verilerin seçili çalışma alanında depolanacağına dikkat edin
1.1 Linux makinesi seçme veya oluşturma
Microsoft Sentinel'in güvenlik çözümünüzle Microsoft Sentinel arasında ara sunucu olarak kullanacağı bir Linux makinesi seçin veya oluşturun. Bu makine şirket içi ortamınızda, Azure'da veya diğer bulutlarda olabilir.
1.2 Linux makinesine CEF toplayıcısını yükleme
Linux makinenize Microsoft Monitoring Agent'ı yükleyin ve makineyi gerekli bağlantı noktasını dinleyecek ve iletileri Microsoft Sentinel çalışma alanınıza iletecek şekilde yapılandırın. CEF toplayıcısı, 25226 TCP numaralı bağlantı noktasında CEF iletilerini toplar.
- Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version.
- Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir.
CEF toplayıcısını yüklemek ve uygulamak için aşağıdaki komutu çalıştırın:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Firepower eNcore istemcisini yükleme
Firepower eNcore eStreamer istemcisini yükleme ve yapılandırma, daha fazla ayrıntı için tam yükleme kılavuzuna bakın
2.1 Github'dan Firepower Bağlan or'ı indirin
Microsoft Sentinel için Firepower eNcore bağlayıcısının en son sürümünü buradan indirin. python3 kullanmayı planlıyorsanız python3 eStreamer bağlayıcısını kullanın
2.2 Azure/VM Ip Adresini kullanarak pkcs12 dosyası oluşturma
System-Integration-eStreamer>> altında Firepower içindeki VM örneğinin genel IP'sini kullanarak bir pkcs12 sertifikası oluşturun, daha fazla bilgi için lütfen yükleme kılavuzuna bakın
2.3 Azure/VM İstemcisi ile FMC arasındaki Bağlan üretkenliği test edin
FMC'den Azure/VM örneğine pkcs12 dosyasını kopyalayın ve bağlantı kuruladığından emin olmak için test yardımcı programını (./encore.sh test) çalıştırın, daha fazla ayrıntı için lütfen kurulum kılavuzuna bakın
2.4 Aracıya veri akışı yapmak için çekirdek yapılandırma
Microsoft Aracısı'na TCP üzerinden veri akışı yapmak için encore'u yapılandırın, bu varsayılan olarak etkinleştirilmelidir, ancak ağ güvenlik duruşunuza bağlı olarak ek bağlantı noktaları ve akış protokolleri yapılandırılabilir, verileri dosya sistemine kaydetmek de mümkündür, daha fazla bilgi için bkz . Encore'u Yapılandırma
- Bağlantıyı doğrulama
Bağlantınızı doğrulamak için yönergeleri izleyin:
Günlüklerin CommonSecurityLog şeması kullanılarak alınılıp alınmadığını denetlemek için Log Analytics'i açın.
Bağlantının çalışma alanınıza veri akışı gerçekleştirmesi yaklaşık 20 dakika sürebilir.
Günlükler alınmazsa aşağıdaki bağlantı doğrulama betiğini çalıştırın:
- Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version
- Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir
Bağlantınızı doğrulamak için aşağıdaki komutu çalıştırın:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Makinenizin güvenliğini sağlama
Makinenin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırdığından emin olun
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.