今天要討論的是透過 Linux agent 將 Cisco ASA 的紀錄加到 OMS 中。
OMS 安全性與稽核方案提供從 Windows 或 Linux 機器中許多來源的安全性洞察。您可以加入任何會發送系統記錄到 OMS 的來源,而您也可以將 Cisco Adaptive Security Appliance (ASA) 的紀錄融入到 OMS 安全性與稽核方案中。
在透過 Linux agent 將 Cisco ASA 的紀錄加到 OMS 後,OMS 不會只索引記錄串,還會解析大部分與安全性相關的訊息。這使搜尋資料變得很容易,也能應用在記錄搜尋、提醒、和儀表板中。
除了分析之外,也可以根據威脅情報來源,利用這些紀錄來搜尋被惡意者使用的 IP 位址。這也對攻擊嘗試和成功的攻擊提供了良好的洞察。更重要的是,它會明確凸顯出您數據中心中正在網路中與意義電腦連接的伺服器案例。這通常代表一個接觸自己命令、控制或數據滲透的惡意軟件。在外來也會加入地理標記 IP 位址的功能來顯示在地圖上。
想了解更詳細資訊可以參考此連結:How to configure the Cisco ASA integration。
下圖是 Cisco ASA 紀錄過程的概觀:
最後結果是一個新的類型的紀錄名為 CommonSecurityLog,而未來將會有更多記錄來源被標準化成此類型。以下是搜尋結果的範例:
您也可以利用搜尋紀錄來分析數據:
