Conector Ubiquiti UniFi (versión preliminar) para Microsoft Sentinel
El conector de datos Ubiquiti UniFi proporciona la capacidad de ingerir eventos de firewall, DNS, SSH y AP de Ubiquiti UniFi en Microsoft Sentinel.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| Tabla de Log Analytics | Ubiquiti_CL |
| Soporte de reglas de recopilación de datos | No se admite actualmente. |
| Compatible con | Microsoft Corporation |
Ejemplos de consultas
10 clientes principales (IP de origen)
UbiquitiAuditEvent
| summarize count() by SrcIpAddr
| top 10 by count_
Instrucciones de instalación del proveedor
Nota
Este conector de datos depende de un analizador basado en una función de Kusto para que funcione según lo previsto en UbiquitiAuditEvent, que se implementa con la solución de Microsoft Sentinel.
Nota
Este conector de datos se ha desarrollado mediante la versión de lanzamiento del controlador de sistema empresarial: 5.6.2 (Syslog)
- Instalación e incorporación del agente para Linux o Windows
Instale el agente en el servidor al que se reenvían los registros de Ubiquiti desde el dispositivo Ubiquiti (por ejemplo, el servidor Syslog remoto)
Los registros del servidor de Ubiquiti implementados en servidores Linux o Windows se recopilan mediante agentes de Linux o Windows.
- Configure los registros que se van a recopilar.
Use los pasos de configuración siguientes para obtener los registros de Ubiquiti en Microsoft Sentinel. Para obtener más detalles sobre estos pasos, consulte la documentación de Azure Monitor.
Configure el reenvío de registros en el controlador de Ubiquiti:
i. Vaya a Configuración > Configuración del sistema > Configuración del controlador > Registro remoto y habilite los registros de Syslog y Depuración (opcional) (consulte la Guía del usuario para obtener instrucciones detalladas).
Descargue el archivo de configuración Ubiquiti.conf.
Inicie sesión en el servidor donde ha instalado el agente de Azure Log Analytics.
Copie Ubiquiti.conf en la carpeta /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.
Edite Ubiquiti.conf de la siguiente manera:
i. Especifique el puerto que ha establecido para que el dispositivo Ubiquiti reenvíe los registros (línea 4)
ii. Reemplace workspace_id por el valor real del identificador del área de trabajo (líneas 14, 15, 16 y 19)
Guarde los cambios y reinicie el servicio del agente de Azure Log Analytics para Linux con el siguiente comando: sudo /opt/microsoft/omsagent/bin/service_control restart
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.