مشاركة عبر

موصل Wan المعرف لبرامج Cisco ل Microsoft Sentinel

  • مقالة

يوفر موصل بيانات Cisco Software Defined WAN (SD-WAN) القدرة على استيعاب بيانات Cisco SD-WAN Syslog وNetflow في Microsoft Sentinel.

هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.

سمات الاتصال أو

سمة الموصل ‏‏الوصف
الاسم المستعار لدالة Kusto CiscoSyslogUTD
عنوان URL لدالة Kusto https://aka.ms/sentinel-CiscoSyslogUTD-parser
جدول (جداول) Log Analytics Syslog
CiscoSDWANNetflow_CL
دعم قواعد جمع البيانات تحويل DCR لمساحة العمل
مدعومة من قبل أنظمة Cisco

عينات الاستعلام

أحداث Syslog - جميع أحداث Syslog.

Syslog

| sort by TimeGenerated desc

أحداث Cisco SD-WAN Netflow - جميع أحداث Netflow.

CiscoSDWANNetflow_CL

| sort by TimeGenerated desc

إرشادات تثبيت المورد

لاستيعاب بيانات Cisco SD-WAN Syslog وNetflow في Microsoft Sentinel اتبع الخطوات أدناه.

  1. خطوات استيعاب بيانات Syslog إلى Microsoft sentinel

سيتم استخدام Azure Monitor Agent لجمع بيانات syslog في Microsoft sentinel. لذلك تحتاج أولا إلى إنشاء خادم azure arc للجهاز الظاهري الذي سيتم إرسال بيانات syslog منه.

1.1 خطوات لإضافة Azure Arc Server

  1. في مدخل Microsoft Azure، انتقل إلى Servers - Azure Arc وانقر على Add.
  2. حدد إنشاء برنامج نصي ضمن قسم إضافة خادم واحد. يمكن للمستخدم أيضا إنشاء برامج نصية لخوادم متعددة أيضا.
  3. راجع المعلومات الموجودة في صفحة المتطلبات الأساسية، ثم حدد التالي.
  4. في صفحة Resource details، قم بتوفير مجموعة الاشتراك والموارد من Microsoft Sentinel والمنطقة ونظام التشغيل وطريقة الاتصال ivity. بعد ذلك، حدد "التالي".
  5. في صفحة العلامات، راجع علامات الموقع الفعلي الافتراضية المقترحة وأدخل قيمة، أو حدد علامة مخصصة واحدة أو أكثر لدعم معاييرك. ثم حدد "Next"
  6. حدد تنزيل لحفظ ملف البرنامج النصي.
  7. الآن بعد أن قمت بإنشاء البرنامج النصي، فإن الخطوة التالية هي تشغيله على الخادم الذي تريد إلحاقه ب Azure Arc.
  8. إذا كان لديك Azure VM اتبع الخطوات المذكورة في الارتباط قبل تشغيل البرنامج النصي.
  9. قم بتشغيل البرنامج النصي بواسطة الأمر التالي: ./<ScriptName>.sh
  10. بعد تثبيت العامل وتكوينه للاتصال بخوادم ممكنة في Azure Arc، انتقل إلى مدخل Azure للتحقق من اتصال الخادم بنجاح. عرض جهازك في مدخل Microsoft Azure. ارتباط مرجعي

1.2 خطوات لإنشاء قاعدة تجميع البيانات (DCR)

  1. في مدخل Azure ابحث عن Monitor. ضمن الإعدادات، حدد قواعد تجميع البيانات وحدد إنشاء.

  2. في لوحة الأساسيات، أدخل اسم القاعدة والاشتراك ومجموعة الموارد والمنطقة ونوع النظام الأساسي.

  3. حدد Next : Resource.

  4. حدد إضافة موارد. استخدم عوامل التصفية للعثور على الجهاز الظاهري الذي ستستخدمه لجمع السجلات.

  5. حدد الجهاز الظاهري. حدد تطبيق.

  6. حدد Next: Collect and deliver.

  7. حدد إضافة مصدر بيانات. بالنسبة لنوع مصدر البيانات، حدد Linux syslog.

  8. بالنسبة إلى الحد الأدنى لمستوى السجل، اترك القيم الافتراضية LOG_DEBUG.

  9. حدد Next: Destination.

  10. حدد إضافة وجهة وأضف نوع الوجهة والاشتراك والحساب أو مساحة الاسم.

  11. حدد إضافة مصدر بيانات. حدّد Next: Review + create.

  12. حدد إنشاء. انتظر لمدة 20 دقيقة. في Microsoft Sentinel أو Azure Monitor، تحقق من تشغيل عامل Azure Monitor على جهازك الظاهري. ارتباط مرجعي

  13. خطوات استيعاب بيانات Netflow إلى Microsoft sentinel

لاستيعاب بيانات Netflow في Microsoft sentinel، يجب تثبيت Filebeat وLogstash وتكوينها على الجهاز الظاهري. بعد التكوين، سيتمكن الجهاز الظاهري من تلقي بيانات netflow على المنفذ الذي تم تكوينه وسيتم استيعاب هذه البيانات في مساحة عمل Microsoft sentinel.

2.1 تثبيت filebeat وlogstash

  1. لتثبيت filebeat وlogstash باستخدام apt راجع هذا المستند:
  2. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html.
  3. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html.
  4. لتثبيت filebeat وlogstash لخطوات Linux (yum) المستندة إلى RedHat هي كما يلي:
  5. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum.
  6. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum

2.2 تكوين Filebeat لإرسال الأحداث إلى Logstash

  1. تحرير ملف filebeat.yml: vi /etc/filebeat/filebeat.yml
  2. التعليق على قسم Elasticsearch Output.
  3. قسم Uncomment Logstash Output (إلغاء التعليق على هذين الخطين فقط)- مضيفي output.logstash: ["localhost:5044"]
  4. في قسم Logstash Output، إذا كنت تريد إرسال بيانات أخرى غير المنفذ الافتراضي أي منفذ 5044، فاستبدل رقم المنفذ في حقل المضيفين. (ملاحظة: يجب إضافة هذا المنفذ في ملف التكوين، أثناء تكوين logstash.)
  5. في قسم "filebeat.inputs" التعليق على التكوين الموجود وإضافة التكوين التالي: - النوع: netflow max_message_size: مضيف 10KiB: بروتوكولات "0.0.0.0:2055": [ v5، v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions: - /etc/filebeat/custom.yml detect_sequence_reset: true enabled: true
  6. في قسم Filebeat inputs، إذا كنت تريد تلقي بيانات أخرى غير المنفذ الافتراضي أي منفذ 2055، فاستبدل رقم المنفذ في حقل المضيف.
  7. أضف ملف custom.yml المتوفر داخل الدليل /etc/filebeat/.
  8. افتح منفذ الإدخال والإخراج filebeat في جدار الحماية.
  9. أمر التشغيل: firewall-cmd --zone=public --permanent --add-port=2055/udp
  10. أمر التشغيل: firewall-cmd --zone=public --permanent --add-port=5044/udp

ملاحظة: إذا تمت إضافة منفذ مخصص لإدخال/إخراج filebeat، فافتح هذا المنفذ في جدار الحماية.

2.3 تكوين Logstash لإرسال الأحداث إلى Microsoft Sentinel

  1. تثبيت المكون الإضافي Azure Log Analytics:
  2. تشغيل الأمر: sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
  3. تخزين مفتاح مساحة عمل Log Analytics في مخزن مفتاح Logstash. يمكن العثور على مفتاح مساحة العمل في مدخل Microsoft Azure ضمن Log analytic workspace > Select workspace > ضمن الإعدادات حدد Agent > Log Analytics agent instructions.
  4. انسخ المفتاح الأساسي وقم بتشغيل الأوامر التالية:
  5. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
  6. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
  7. قم بإنشاء ملف التكوين /etc/logstash/cisco-netflow-to-sentinel.conf: input { beats { port =><port_number> #(أدخل رقم منفذ الإخراج الذي تم تكوينه أثناء تكوين filebeat أي. filebeat.yml file .) } } output { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } }

ملاحظة: إذا لم يكن الجدول موجودا في Microsoft sentinel، فسينشئ جدولا جديدا في sentinel.

2.4 تشغيل Filebeat:

  1. افتح محطة طرفية وقم بتشغيل الأمر:

systemctl start filebeat

  1. سيبدأ هذا الأمر في تشغيل filebeat في الخلفية. لمشاهدة السجلات توقف filebeat (systemctl stop filebeat) ثم قم بتشغيل الأمر التالي:

filebeat run -e

2.5 تشغيل Logstash:

  1. في محطة طرفية أخرى، قم بتشغيل الأمر:

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &

  1. سيبدأ هذا الأمر في تشغيل logstash في الخلفية. لمشاهدة سجلات logstash، قم بإيقاف العملية أعلاه وتشغيل الأمر التالي:

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf

الخطوات التالية

لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.