Konektor Ubiquiti UniFi (pomocí Azure Functions) pro Microsoft Sentinel

  • Článek

Datový konektor Ubiquiti UniFi poskytuje schopnost ingestovat ubiquiti UniFi firewall, dns, ssh, ap events into Microsoft Sentinel.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

atributy Připojení oru

atribut Připojení or Popis
Tabulky Log Analytics Ubiquiti_CL
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno Microsoft Corporation

Ukázky dotazů

Prvních 10 klientů (zdrojová IP adresa)

UbiquitiAuditEvent

| summarize count() by SrcIpAddr

| top 10 by count_

Pokyny k instalaci dodavatele

Poznámka:

Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání UbiquitiAuditEvent nasazené s řešením Microsoft Sentinel.

Poznámka:

Tento datový konektor byl vyvinut pomocí verze podnikového systémového kontroleru: 5.6.2 (Syslog).

  1. Instalace a onboarding agenta pro Linux nebo Windows

Nainstalujte agenta na server, do kterého se protokoly Ubiquiti předávají ze zařízení Ubiquiti (např. vzdálený server syslogu).

Protokoly z Ubiquiti Serveru nasazeného na serverech s Linuxem nebo Windows shromažďují agenti Linuxu nebo Windows .

  1. Konfigurace protokolů, které se mají shromažďovat

Pokud chcete získat protokoly Ubiquiti do Služby Microsoft Sentinel, postupujte podle následujících kroků konfigurace. Další podrobnosti o těchto krocích najdete v dokumentaci ke službě Azure Monitor.

  1. Nakonfigurujte předávání protokolů na kontroleru Ubiquiti:

    i. Přejděte na Nastavení > Vzdálené protokolování konfigurace > kontroleru nastavení > systému a povolte protokoly syslogu a ladění (volitelné) (podrobné pokyny najdete v uživatelské příručce).

  2. Stáhněte konfigurační soubor Ubiquiti.conf.

  3. Přihlaste se k serveru, na kterém jste nainstalovali agenta Azure Log Analytics.

  4. Zkopírujte ubiquiti.conf do složky /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.

  5. Upravte ubiquiti.conf následujícím způsobem:

    i. zadejte port, na který jste nastavili zařízení Ubiquiti tak, aby předával protokoly (řádek 4).

    ii. nahraďte workspace_id skutečnou hodnotou ID pracovního prostoru (řádky 14 15 16 19).

  6. Uložte změny a restartujte agenta Azure Log Analytics pro službu Linux pomocí následujícího příkazu: sudo /opt/microsoft/omsagent/bin/service_control restart

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.