Conector WAN definido por software de Cisco para Microsoft Sentinel

  • Artículo

El conector de datos WAN definido por el software de Cisco (SD-WAN) proporciona la capacidad de ingerir datos de Syslog y Netflow de Cisco SD-WAN en Microsoft Sentinel.

Atributos del conector

Atributo del conector Descripción
Alias de función de Kusto CiscoSyslogUTD
URL de la función de Kusto https://aka.ms/sentinel-CiscoSyslogUTD-parser
Tabla de Log Analytics syslog
CiscoSDWANNetflow_CL
Soporte de reglas de recopilación de datos DCR de transformación del área de trabajo
Compatible con Cisco Systems

Ejemplos de consultas

Eventos de Syslog: todos los eventos de Syslog.

Syslog

| sort by TimeGenerated desc

Eventos de Netflow de Cisco SD-WAN: todos los eventos de Netflow.

CiscoSDWANNetflow_CL

| sort by TimeGenerated desc

Instrucciones de instalación del proveedor

Para ingerir datos de Syslog y Netflow de Cisco SD-WAN en Microsoft Sentinel, siga estos pasos.

  1. Pasos para ingerir datos de Syslog en Microsoft Sentinel

El agente de Azure Monitor se usará para recopilar los datos de Syslog en Microsoft Sentinel. Para ello, primero debe crear un servidor de Azure Arc para la máquina virtual desde la que se enviarán los datos de Syslog.

1.1 Pasos para Agregar el servidor de Azure Arc

  1. En Azure Portal, vaya a Servidores: Azure Arc y haga clic en Agregar.
  2. Seleccione Generar script en la sección Agregar un único servidor. Un usuario también puede generar scripts para varios servidores.
  3. En la página Requisitos previos, revise la información y, luego, seleccione Siguiente.
  4. En la página Detalles del recurso, proporcione la suscripción y el grupo de recursos del método, la región, el sistema operativo y la conectividad de Microsoft Sentinel. Después, seleccione Siguiente.
  5. En la página Etiquetas, revise las etiquetas de ubicación física predeterminadas sugeridas y escriba un valor, o bien especifique una o varias etiquetas personalizadas para que cumplan sus estándares. A continuación, seleccione Siguiente
  6. Seleccione Descargar para guardar el archivo de script.
  7. Ahora que ha generado el script, el siguiente paso es ejecutarlo en el servidor que desea incorporar a Azure Arc.
  8. Si tiene una máquina virtual de Azure, siga los pasos mencionados en el vínculo antes de ejecutar el script.
  9. Ejecute el script con el siguiente comando: ./<ScriptName>.sh
  10. Después de instalar el agente y configurarlo para que se conecte a los servidores habilitados para Azure Arc, vaya a Azure Portal a fin de comprobar que el servidor se ha conectado correctamente. Vea la máquina en Azure Portal.

Vínculo de referencia:https://learn.microsoft.com/azure/azure-arc/servers/learn/quick-enable-hybrid-vm

1.2 Pasos para crear una regla de recopilación de datos (DCR)

  1. En Azure Portal, busque Supervisión. En Configuración, seleccione Reglas de recopilación de datos y Seleccione Crear.
  2. En el panel Aspectos básicos, escriba el nombre de regla, la suscripción, el grupo de recursos, la región y el tipo de plataforma.
  3. Seleccione Siguiente: Recursos.
  4. Seleccione Agregar recursos. Use los filtros para buscar la máquina virtual que usará para recopilar registros.
  5. Seleccione la máquina virtual. Seleccione Aplicar.
  6. Seleccione Siguiente: Recopilar y entregar.
  7. Seleccione Add data source(Agregar origen de datos). En Tipo de origen de datos, seleccione Syslog de Linux.
  8. En Nivel de registro mínimo, deje los valores predeterminados LOG_DEBUG.
  9. Seleccione Siguiente: Destino.
  10. Seleccione Agregar destino y agregue el tipo de destino, la suscripción y la cuenta o espacio de nombres.
  11. Seleccione Add data source(Agregar origen de datos). Seleccione Siguiente:Revisar y crear.
  12. Seleccione Crear. Espere 20 minutos. Desde Microsoft Sentinel o Azure Monitor, compruebe que el agente de Azure Monitor se ejecuta en la máquina virtual.

Vínculo de referencia:https://learn.microsoft.com/azure/sentinel/forward-syslog-monitor-agent

  1. Pasos para ingerir datos de Netflow en Microsoft Sentinel

Para ingerir datos de Netflow en Microsoft Sentinel, Filebeat y Logstash deben instalarse y configurarse en la máquina virtual. Después de la configuración, la máquina virtual podrá recibir datos de netflow en el puerto configurado y esos datos se ingerirán en el área de trabajo de Microsoft Sentinel.

2.1 Instalación de filebeat y logstash

  1. Para la instalación de filebeat y logstash mediante apt, consulte este documento:
  2. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html.
  3. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html.
  4. Para la instalación de filebeat y logstash para los pasos de Linux basado en RedHat (yum) son los siguientes:
  5. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum.
  6. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum

2.2 Configuración de Filebeat para enviar eventos a Logstash

  1. Edite el archivo filebeat.yml: vi /etc/filebeat/filebeat.yml
  2. Convierta en comentario la sección Salida de Elasticsearch.
  3. Sección Quitar comentario de Salida de Logstash (Quitar comentario solo de estas dos líneas): output.logstash hosts: ["localhost:5044"]
  4. En la sección Salida de Logstash, si desea enviar datos distintos del puerto predeterminado, por ejemplo, puerto 5044, reemplace el número de puerto en el campo hosts. (Nota: Este puerto debe agregarse en el archivo conf, al configurar logstash).
  5. En la sección "filebeat.inputs", agregue la configuración existente y agregue la siguiente configuración: - type: netflow max_message_size: 10KiB host: "0.0.0.0.0:2055" protocols: [ v5, v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions: - /etc/filebeat/custom.yml detect_sequence_reset: true enabled: true
  6. En la sección Entradas de Filebeat, si desea recibir datos distintos del puerto predeterminado, por ejemplo, puerto 2055, reemplace el número de puerto en el campo host.
  7. Agregue el archivo custom.yml proporcionado dentro del directorio /etc/filebeat/.
  8. Abra el puerto de entrada y salida de FileBeat en el firewall.
  9. Ejecute el comando: firewall-cmd --zone=public --permanent --add-port=2055/udp
  10. Ejecute el comando: firewall-cmd --zone=public --permanent --add-port=5044/udp

Nota: si se agrega un puerto personalizado para la entrada y salida de filebeat, abra ese puerto en el firewall.

2.3 Configuración de Logstash para enviar eventos a Microsoft Sentinel

  1. Instale el complemento de Azure Log Analytics:
  2. Ejecute el comando: sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
  3. Almacene la clave del área de trabajo de Log Analytics en el almacén de claves de Logstash. La clave del área de trabajo se puede encontrar en Azure Portal en Área de trabajo de Log Analytics >Seleccionar área de trabajo > En Configuración, seleccione > instrucciones del agente de Log Analytics.
  4. Copie la clave principal y ejecute los siguientes comandos:
  5. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
  6. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
  7. Cree el archivo de configuración /etc/logstash/cisco-netflow-to-sentinel.conf: input { beats { port =><port_number> #(Introduzca el número de puerto de salida que se ha configurado durante la configuración de filebeat, por ejemplo, filebeat.yml file .) } } output { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } }

Nota: Si la tabla no está presente en Microsoft Sentinel, creará una nueva tabla en sentinel.

2.4 Ejecute Filebeat:

  1. Abra un terminal y ejecute el comando:

systemctl start filebeat

  1. Este comando comenzará a ejecutar filebeat en segundo plano. Para ver los registros, detenga filebeat (systemctl stop filebeat) y ejecute el siguiente comando:

filebeat run -e

2.5 Ejecute Logstash:

  1. En otro terminal, ejecute el comando:

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &

  1. Este comando comenzará a ejecutar logstash en segundo plano. Para ver los registros de logstash, elimine el proceso anterior y ejecute el siguiente comando :

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.