Konektor Cisco Meraki pro Microsoft Sentinel

  • Článek

Konektor Cisco Meraki umožňuje snadno připojit protokoly Cisco Meraki (MX/MR/MS) se službou Microsoft Sentinel. Tím získáte lepší přehled o síti vaší organizace a zlepšíte možnosti operací zabezpečení.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

atributy Připojení oru

atribut Připojení or Popis
Tabulky Log Analytics meraki_CL
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno Microsoft Corporation

Ukázky dotazů

Celkový počet událostí podle typu protokolu

CiscoMeraki 

| summarize count() by LogType

Prvních 10 blokovaných Připojení ionů

CiscoMeraki 

| where LogType == "security_event" 

| where Action == "block" 

| summarize count() by SrcIpAddr, DstIpAddr, Action, Disposition 

| top 10 by count_

Požadavky

Pokud chcete provést integraci s Cisco Meraki, ujistěte se, že máte:

  • Cisco Meraki: Musí být nakonfigurované pro export protokolů přes Syslog.

Pokyny k instalaci dodavatele

POZNÁMKA: Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání, která se nasadí jako součást řešení. Pokud chcete zobrazit kód funkce v Log Analytics, otevřete okno Protokoly Log Analytics nebo Microsoft Sentinelu, klikněte na Funkce a vyhledejte alias CiscoMeraki a načtěte kód funkce nebo klikněte sem. Aktivace funkce obvykle trvá 10 až 15 minut po instalaci nebo aktualizaci řešení.

  1. Instalace a onboarding agenta pro Linux

Obvykle byste měli agenta nainstalovat do jiného počítače, než na kterém se protokoly generují.

Protokoly syslogu se shromažďují jenom z agentů Linuxu .

  1. Konfigurace protokolů, které se mají shromažďovat

Pokud chcete získat protokoly zařízení Cisco Meraki do Služby Microsoft Sentinel, postupujte podle následujících kroků konfigurace. Další podrobnosti o těchto krocích najdete v dokumentaci ke službě Azure Monitor. V protokolech Cisco Meraki máme problémy při analýze dat agentem OMS pomocí výchozího nastavení. Proto doporučujeme zaznamenat protokoly do vlastní tabulky meraki_CL pomocí následujících pokynů.

  1. Přihlaste se k serveru, na kterém jste nainstalovali agenta OMS.

  2. Stažení konfiguračního souboru meraki.conf wget -v https://aka.ms/sentinel-ciscomerakioms-conf -O meraki.conf

  3. Zkopírujte meraki.conf do složky /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/. cp meraki.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/

  4. Upravte meraki.conf následujícím způsobem:

    a. meraki.conf ve výchozím nastavení používá port 22033 . Ujistěte se, že tento port nepoužívá žádný jiný zdroj na vašem serveru.

    b. Pokud chcete změnit výchozí port pro meraki.conf , ujistěte se, že nepoužíváte výchozí porty agenta monitorování Azure /log analytics, například CEF používá port TCP 25226 nebo 25224.

    c. nahraďte workspace_id skutečnou hodnotou ID pracovního prostoru (řádky 14 15 16 19).

  5. Uložte změny a restartujte agenta Azure Log Analytics pro službu Linux pomocí následujícího příkazu: sudo /opt/microsoft/omsagent/bin/service_control restart

  6. Upravte soubor /etc/rsyslog.conf – pokud možno na začátek nebo před oddíl direktivy přidejte následující šablonu $template meraki,"%timestamp% %hostname% %msg%\n"

  7. Vytvořte vlastní soubor conf v souboru /etc/rsyslog.d/, například 10-meraki.conf a přidejte následující podmínky filtru.

    S přidaným příkazem budete muset vytvořit filtr, který určí protokoly pocházející z Cisco Meraki, které se mají předat do vlastní tabulky.

    reference: Podmínky filtru – rsyslog 8.18.0.master dokumentace

    Tady je příklad filtrování, které je možné definovat, to není dokončeno a bude vyžadovat další testování pro každou instalaci. pokud $rawmsg obsahuje "toky", @@127.0.0.1:22033; meraki & stop pokud $rawmsg obsahuje "url" pak @@127.0.0.1:22033; meraki & stop pokud $rawmsg obsahuje "ids-alerts" pak @@127.0.0.1:22033; meraki & stop pokud $rawmsg obsahuje "události" pak @@127.0.0.1:22033; meraki & stop pokud $rawmsg obsahuje "ip_flow_start" pak @@127.0.0.1:22033; meraki & stop pokud $rawmsg obsahuje "ip_flow_end" pak @@127.0.0.1:22033; meraki & stop

  8. Restartování rsyslog systemctl restart rsyslog

  9. Konfigurace a připojení zařízení Cisco Meraki

Podle těchto pokynů nakonfigurujte zařízení Cisco Meraki pro předávání syslogu. Použijte IP adresu nebo název hostitele pro zařízení s Linuxem s agentem Linuxu nainstalovaným jako cílovou IP adresu.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.