Konektor Cisco Software Defined WAN pro Microsoft Sentinel

  • Článek

Datový konektor Cisco Software Defined WAN (SD-WAN) poskytuje možnost ingestovat data Syslog Cisco SD-WAN a Netflow do Microsoft Sentinelu.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

atributy Připojení oru

atribut Připojení or Popis
Alias funkce Kusto CiscoSyslogUTD
Adresa URL funkce Kusto https://aka.ms/sentinel-CiscoSyslogUTD-parser
Tabulky Log Analytics Syslog
CiscoSDWANNetflow_CL
Podpora pravidel shromažďování dat Transformace pracovního prostoru – DCR
Podporováno Cisco Systems

Ukázky dotazů

Události Syslogu – všechny události Syslogu.

Syslog

| sort by TimeGenerated desc

Události Netflow cisco SD-WAN – všechny události netflow.

CiscoSDWANNetflow_CL

| sort by TimeGenerated desc

Pokyny k instalaci dodavatele

Pokud chcete ingestovat data Syslogu Cisco SD-WAN a Netflow do Microsoft Sentinelu, postupujte následovně.

  1. Postup ingestování dat Syslogu do služby Microsoft Sentinel

Agent služby Azure Monitor se použije ke shromažďování dat syslogu do služby Microsoft Sentinel. Nejprve je potřeba vytvořit server Azure Arc pro virtuální počítač, ze kterého se budou odesílat data syslogu.

1.1 Postup přidání serveru Azure Arc

  1. Na webu Azure Portal přejděte na Servery – Azure Arc a klikněte na Přidat.
  2. V části Přidat jeden server vyberte Možnost Generovat skript. Uživatel může také generovat skripty pro více serverů.
  3. Zkontrolujte informace na stránce Požadavky a pak vyberte Další.
  4. Na stránce Podrobnosti o prostředku zadejte předplatné a skupinu prostředků microsoft Sentinelu, oblasti, operačního systému a metody Připojení ivity. Pak vyberte Další.
  5. Na stránce Značky zkontrolujte navrhované výchozí značky fyzického umístění a zadejte hodnotu nebo zadejte jednu nebo více vlastních značek, které budou podporovat vaše standardy. Pak vyberte Další.
  6. Výběrem možnosti Stáhnout soubor skriptu uložte.
  7. Teď, když jste skript vygenerovali, je dalším krokem jeho spuštění na serveru, který chcete připojit ke službě Azure Arc.
  8. Pokud máte virtuální počítač Azure, před spuštěním skriptu postupujte podle kroků uvedených na odkazu .
  9. Spusťte skript následujícím příkazem: ./<ScriptName>.sh
  10. Po instalaci agenta a jeho konfiguraci pro připojení k serverům s podporou Azure Arc přejděte na web Azure Portal a ověřte, že se server úspěšně připojil. Zobrazte svůj počítač na webu Azure Portal. Odkaz na odkaz

1.2 Postup vytvoření pravidla shromažďování dat (DCR)

  1. Na webu Azure Portal vyhledejte Monitor. V části Nastavení vyberte Pravidla shromažďování dat a vyberte Vytvořit.

  2. Na panelu Základy zadejte název pravidla, předplatné, skupinu prostředků, oblast a typ platformy.

  3. Vyberte Další: Prostředky.

  4. Vyberte Přidat prostředky. Pomocí filtrů vyhledejte virtuální počítač, který použijete ke shromažďování protokolů.

  5. Vyberte virtuální počítač. Vyberte Použít.

  6. Vyberte Další: Shromážděte a doručte.

  7. Vyberte Přidat zdroj dat. Jako typ zdroje dat vyberte syslog Linuxu.

  8. Pro minimální úroveň protokolu ponechte výchozí hodnoty LOG_DEBUG.

  9. Vyberte Další: Cíl.

  10. Vyberte Přidat cíl a přidejte typ cíle, předplatné a účet nebo obor názvů.

  11. Vyberte Přidat zdroj dat. Vyberte Další: Zkontrolovat a vytvořit.

  12. Vyberte Vytvořit. Počkejte 20 minut. Ve službě Microsoft Sentinel nebo Azure Monitor ověřte, že na vašem virtuálním počítači běží agent Azure Monitoru. Odkaz na odkaz

  13. Postup ingestování dat netflow do služby Microsoft Sentinel

Pokud chcete Ingestovat data Netflow do služby Microsoft Sentinel, musí být na virtuálním počítači nainstalovaný a nakonfigurovaný Filebeat a Logstash. Po konfiguraci bude virtuální počítač moct přijímat data netflow na nakonfigurovaný port a tato data se budou ingestovat do pracovního prostoru služby Microsoft Sentinel.

2.1 Instalace filebeat a logstash

  1. Informace o instalaci filebeat a logstash pomocí apt najdete v tomto dokumentu:
  2. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html.
  3. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html.
  4. Pro instalaci filebeat a logstash pro RedHat založené linuxové kroky (yum) jsou následující:
  5. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum.
  6. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum

2.2 Konfigurace filebeat pro odesílání událostí do Logstash

  1. Upravit soubor filebeat.yml: vi /etc/filebeat/filebeat.yml
  2. Zakomentujte oddíl Výstup Elasticsearch.
  3. Oddíl Odkomentování výstupu Logstash (Odkomentování pouze těchto dvou řádků) – hostitelé output.logstash: ["localhost:5044"]
  4. Pokud chcete v části Výstup logstash odeslat data jiná než výchozí port, tj. port 5044, nahraďte číslo portu v poli hostitelů. (Poznámka: Tento port by se měl přidat do souboru conf při konfiguraci logstash.)
  5. V části filebeat.inputs zakomentujte existující konfiguraci a přidejte následující konfiguraci: – typ: netflow max_message_size: 10KiB host: "0.0.0.0:2055" protokoly: [ v5, v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions: - /etc/filebeat/custom.yml detect_sequence_reset: true enabled: true
  6. Pokud chcete v části Vstupy Filebeat přijímat jiná data než výchozí port, tj. port 2055, nahraďte číslo portu v poli hostitele.
  7. Do adresáře /etc/filebeat/ přidejte zadaný soubor custom.yml .
  8. Otevřete vstupní a výstupní port filebeat v bráně firewall.
  9. Spustit příkaz: firewall-cmd --zone=public --permanent --add-port=2055/udp
  10. Spustit příkaz: firewall-cmd --zone=public --permanent --add-port=5044/udp

Poznámka: Pokud je pro vstup a výstup filebeat přidaný vlastní port, otevřete tento port v bráně firewall.

2.3 Konfigurace Logstash pro odesílání událostí do Služby Microsoft Sentinel

  1. Nainstalujte modul plug-in Azure Log Analytics:
  2. Spustit příkaz: sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
  3. Uložte klíč pracovního prostoru služby Log Analytics do úložiště klíčů Logstash. Klíč pracovního prostoru najdete na webu Azure Portal v části Pracovní prostor LogAnalytic Select workspace >> Under Nastavení select Agent > Log Analytics agent instructions.
  4. Zkopírujte primární klíč a spusťte následující příkazy:
  5. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
  6. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
  7. Vytvořte konfigurační soubor /etc/logstash/cisco-netflow-to-sentinel.conf: input { beats { port =><port_number> #(Zadejte číslo výstupního portu, které bylo nakonfigurováno během konfigurace filebeat, tj. filebeat.yml soubor .) } } výstup { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } } }

Poznámka: Pokud tabulka v Microsoft Sentinelu není, vytvoří se v sentinelu nová tabulka.

2.4 Spuštění filebeat:

  1. Otevřete terminál a spusťte příkaz:

systemctl start filebeat

  1. Tento příkaz začne na pozadí spouštět souborový signál. Pokud chcete zobrazit protokoly, zastavte filebeat (systemctl stop filebeat) a spusťte následující příkaz:

filebeat run -e

2.5 Spuštění Logstash:

  1. V jiném terminálu spusťte příkaz:

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &

  1. Tento příkaz spustí logtash na pozadí. Pokud chcete zobrazit protokoly logstash, ukončete výše uvedený proces a spusťte následující příkaz:

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.