Der Connector „Cisco Software Defined WAN“ für Microsoft Sentinel

  • Artikel

Der Datenconnector „Cisco Software Defined WAN (SD-WAN)“ bietet die Möglichkeit, Cisco SD-WAN Syslog- und Netflow-Daten in Microsoft Sentinel zu erfassen.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Kusto-Funktionsalias CiscoSyslogUTD
URL der Kusto-Funktion https://aka.ms/sentinel-CiscoSyslogUTD-parser
Log Analytics-Tabellen syslog
CiscoSDWANNetflow_CL
Unterstützung für Datensammlungsregeln Transformations-DCR des Arbeitsbereichs
Unterstützt von Cisco Systems

Abfragebeispiele

Syslog-Ereignisse – alle Syslog-Ereignisse.

Syslog

| sort by TimeGenerated desc

Cisco SD-WAN Netflow-Ereignisse – alle Netflow-Ereignisse.

CiscoSDWANNetflow_CL

| sort by TimeGenerated desc

Installationsanweisungen des Anbieters

Führen Sie die folgenden Schritte aus, um Cisco SD-WAN Syslog- und Netflow-Daten in Microsoft Sentinel zu erfassen.

  1. Schritte zum Erfassen von Syslog-Daten in Microsoft Sentinel

Der Azure Monitor-Agent wird verwendet, um die Syslog-Daten in Microsoft Sentinel zu sammeln. Dafür müssen Sie zunächst einen Azure Arc-Server für den virtuellen Computer erstellen, von dem Syslog-Daten gesendet werden.

1.1 Schritte zum Hinzufügen von Azure Arc Server

  1. Gehen Sie im Azure-Portal zu Servers – Azure Arc und klicken Sie auf “Hinzufügen“.
  2. Wählen Sie im Abschnitt „Einzelserver hinzufügen“ die Option „Skript generieren“ aus. Ein Benutzer kann auch Skripts für mehrere Server generieren.
  3. Lesen Sie sich die Informationen auf der Seite Voraussetzungen durch und klicken Sie dann auf Weiter.
  4. Geben Sie auf der Seite „Ressourcendetails“ das Abonnement und die Ressourcengruppe der Microsoft Sentinel, die Region, das Betriebssystem und die Konnektivitätsmethode an. Wählen Sie Weiteraus.
  5. Überprüfen Sie auf der Seite Tags die vorgeschlagenen standardmäßigen physischen Speicherorttags, und geben Sie einen Wert ein, oder geben Sie mindestens ein benutzerdefiniertes Tag an, um Ihre Standards zu unterstützen. Wählen Sie anschließend „Weiter“ aus
  6. Klicken Sie auf „Herunterladen“, um die Skriptdatei zu speichern.
  7. Nachdem Sie das Skript generiert haben, besteht der nächste Schritt darin, es auf dem Server auszuführen, den Sie in Azure Arc integrieren möchten.
  8. Wenn Sie über einen virtuellen Azure-Computer verfügen, führen Sie die im Link genannten Schritte aus, bevor Sie das Skript ausführen.
  9. Führen Sie das Skript mit folgendem Befehl aus: ./<ScriptName>.sh
  10. Vergewissern Sie sich im Azure-Portal, dass die Serververbindung erfolgreich hergestellt wurde, nachdem Sie den Agent installiert und für die Verbindungsherstellung mit Azure Arc-fähigen Servern konfiguriert haben. Sehen Sie sich Ihre Computer im Azure-Portal an. Referenzlink

1.2 Schritte zum Erstellen einer Datensammlungsregel (Data Collection Rule, DCR)

  1. Suchen Sie im Azure-Portal nach „Monitor“. Wählen Sie unter „Einstellungen“ die Option „Datensammlungsregeln“ und dann „Erstellen“ aus.

  2. Geben Sie im Bereich „Grundlagen“ die Werte „Regelname“, „Abonnement“, „Ressourcengruppe“, „Region“ und „Plattformtyp“ ein.

  3. Wählen Sie Weiter: Ressourcen aus.

  4. Wählen Sie „Ressourcen hinzufügen“ aus. Verwenden Sie die Filter, um die VM zu finden, die Sie zum Sammeln von Protokollen verwenden möchten.

  5. Wählen Sie den virtuellen Computer aus. Wählen Sie Übernehmen.

  6. Wählen Sie Weiter: Sammeln und übermitteln aus.

  7. Wählen Sie die Option Datenquelle hinzufügen. Wählen Sie unter Datenquellentyp, die Option Linux-Syslog aus.

  8. Übernehmen Sie für den Mindestprotokolliergrad die LOG_DEBUG-Standardwerte.

  9. Wählen Sie Weiter: Ziel aus.

  10. Wählen Sie „Ziel hinzufügen“ aus, und fügen Sie Zieltyp, Abonnement und Konto oder Namespace hinzu.

  11. Wählen Sie die Option Datenquelle hinzufügen. Klicken Sie auf Weiter: Überprüfen + erstellen.

  12. Klicken Sie auf Erstellen. Warten Sie 20 Minuten. Überprüfen Sie in Microsoft Sentinel oder Azure Monitor, ob der Azure Monitor-Agent auf Ihrer VM ausgeführt wird. Referenzlink

  13. Schritte zum Erfassen von Netflow-Daten in Microsoft Sentinel

Um Netflow-Daten in Microsoft Sentinel zu erfassen, müssen Filebeat und Logstash auf dem virtuellen Computer installiert und konfiguriert werden. Nach der Konfiguration kann der virtuelle Computer Netflow-Daten am konfigurierten Port empfangen, und diese Daten werden im Arbeitsbereich von Microsoft Sentinel erfasst.

2.1 Installieren von Filebeat und Logstash

  1. Informationen zur Installation von Filebeat und Logstash mit apt finden Sie in dieser Dokumentation:
  2. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html.
  3. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html.
  4. Die Schritte für die Installation von Filebeat und Logstash für RedHat-basierte Linux (yum) sind wie folgt:
  5. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum.
  6. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum

2.2 Konfigurieren von Filebeat zum Senden von Ereignissen an Logstash

  1. Bearbeiten Sie die Datei „filebeat.yml"“: vi /etc/filebeat/filebeat.yml
  2. Kommentieren Sie den Abschnitt „Elasticsearch-Ausgabe“ aus.
  3. Heben Sie die Auskommentierung des Logstash-Ausgabeabschnitts auf (Nur für diese beiden Zeilen die Auskommentierung aufheben)- output.logstash hosts: ["localhost:5044"]
  4. Wenn Sie im Abschnitt „Logstash-Ausgabe „andere Daten als den Standardport, d. h. port 5044, senden möchten, ersetzen Sie die Portnummer im Feld „Hosts“. (Hinweis: Dieser Port sollte während der Konfiguration von Logstash in der Conf-Datei hinzugefügt werden.)
  5. Kommentieren Sie im Abschnitt „filebeat.inputs“ die vorhandene Konfiguration aus, und fügen Sie die folgende Konfiguration hinzu: - type: netflow max_message_size: 10KiB host: "0.0.0.0:2055" protocols: [ v5, v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions: - /etc/filebeat/custom.yml detect_sequence_reset: true enabled: true
  6. Wenn Sie im Abschnitt „Filebeat-Eingabe“n andere Daten als den Standardport, d. h. Port 2055, empfangen möchten, ersetzen Sie die Portnummer im Hostfeld.
  7. Fügen Sie die bereitgestellte Datei custom.yml im Verzeichnis /etc/filebeat/ hinzu.
  8. Öffnen Sie den Filebeat-Eingabe- und Ausgabeport in der Firewall.
  9. Führen Sie den Befehl aus: firewall-cmd --zone=public --permanent --add-port=2055/udp
  10. Führen Sie den Befehl aus: firewall-cmd --zone=public --permanent --add-port=5044/udp

Hinweis: Wenn ein benutzerdefinierter Port für die Filebeat-Eingabe/ -Ausgabe hinzugefügt wird, öffnen Sie diesen Port in der Firewall.

2.3 Konfigurieren von Logstash zum Senden von Ereignissen an Microsoft Sentinel

  1. Installieren Sie das Azure Log Analytics-Plug-In:
  2. Führen Sie den Befehl sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics aus
  3. Speichern Sie den Log Analytics-Arbeitsbereichsschlüssel im Logstash-Schlüsselspeicher. Den Arbeitsbereichsschlüssel finden Sie im Azure-Portal unter den Log Analytics-Arbeitsbereich > Wählen Sie den Arbeitsbereich aus > Unter Einstellungen wählen Sie Anweisungen für den Log Analytics-Agent > aus.
  4. Kopieren Sie den Primärschlüssel, und führen Sie die folgenden Befehle aus:
  5. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
  6. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
  7. Erstellen Sie die Konfigurationsdatei /etc/logstash/cisco-netflow-to-sentinel.conf: Eingabe { beats { port =><port_number> #(Geben Sie die Ausgabeportnummer ein, die während der Filebeat-Konfiguration konfiguriert wurde, z. B. filebeat.yml file .) } } Ausgabe { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } }

Hinweis: Wenn die Tabelle in Microsoft Sentinel nicht vorhanden ist, wird eine neue Tabelle in Sentinel erstellt.

2.4 Filebeat ausführen:

  1. Öffnen Sie ein Terminal und führen Sie den folgenden Befehl aus:

systemctl start filebeat

  1. Mit diesem Befehl wird die Ausführung von Filebeat im Hintergrund gestartet. Um die Protokolle anzuzeigen, beenden Sie Filebeat (systemctl stop filebeat), und führen Sie dann den folgenden Befehl aus:

filebeat run -e

2.5 Logstash ausführen:

  1. Führen Sie in einem anderen Terminal den folgenden Befehl aus:

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &

  1. Mit diesem Befehl wird die Ausführung von Logstash im Hintergrund gestartet. Um die Protokolle von Logstash anzuzeigen, beenden Sie den obigen Prozess, und führen Sie den folgenden Befehl aus:

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.