Connecteur Cisco Software Defined WAN pour Microsoft Sentinel

  • Article

Le connecteur de données Cisco Software Define Wan (SD-WAN) offre la possibilité d’ingérer des données Cisco SD-WAN Syslog et Netflow dans Microsoft Sentinel.

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Alias de fonction Kusto CiscoSyslogUTD
URL de fonction Kusto https://aka.ms/sentinel-CiscoSyslogUTD-parser
Table(s) Log Analytics syslog
CiscoSDWANNetflow_CL
Prise en charge des règles de collecte de données Règles de collecte de données pour la transformation de l’espace de travail
Pris en charge par Cisco Systems

Exemples de requête

Événements Syslog : tous les événements Syslog.

Syslog

| sort by TimeGenerated desc

Événements Netflow Cisco SD-WAN : tous les événements Netflow.

CiscoSDWANNetflow_CL

| sort by TimeGenerated desc

Instructions d’installation du fournisseur

Pour ingérer des données Cisco SD-WAN Syslog et Netflow dans Microsoft Sentinel, suivez les étapes ci-dessous.

  1. Étapes pour ingérer des données Syslog dans Microsoft Sentinel

L’agent Azure Monitor sera utilisé pour collecter les données Syslog dans Microsoft Sentinel. Pour cela, vous devez d’abord créer un serveur Azure Arc pour la machine virtuelle à partir de laquelle les données Syslog seront envoyées.

1.1 Étapes pour ajouter un serveur Azure Arc

  1. Dans Portail Azure, accédez à « Serveurs : Azure Arc », puis cliquez sur Ajouter.
  2. Sélectionnez «Générer un script » sous la section « Ajouter un serveur unique ». Un utilisateur peut également générer des scripts pour plusieurs serveurs.
  3. Dans la page Prérequis, passez en revue les informations, puis sélectionnez Suivant.
  4. Dans la page Détails de la ressource, indiquez l’abonnement et le groupe de ressources de la méthode Microsoft Sentinel, Région, Système d’exploitation et Connectivité. Sélectionnez ensuite Suivant.
  5. Dans la page Balises, passez en revue les suggestions de balises d’emplacement physique par défaut et entrez une valeur, ou spécifiez une ou plusieurs Balises personnalisées en fonction de vos standards. Puis sélectionnez « Suivant »
  6. Sinon, sélectionnez « Télécharger » pour enregistrer le fichier de script.
  7. Maintenant que vous avez généré le script, l’étape suivante consiste à l’exécuter sur le serveur que vous souhaitez intégrer à Azure Arc.
  8. Si vous avez une machine virtuelle Azure, suivez les étapes mentionnées dans ce lien avant d’exécuter le script.
  9. Exécutez le script avec la commande suivante : ./<ScriptName>.sh
  10. Une fois que vous avez installé l’agent et que vous l’avez configuré pour qu’il se connecte aux serveurs avec Azure Arc, accédez au portail Azure pour vérifier que le serveur s’est correctement connecté. Affichez vos machines dans le portail Azure. Lien de référence

1.2 Étapes pour créer une règle de collecte de données (DCR)

  1. Dans le portail Azure, recherchez « Monitor ». Sous « Paramètres », sélectionnez « Règles de collecte de données », puis cliquez sur « Créer ».

  2. Dans le panneau Informations de base, entrez le nom de la règle, l’abonnement, le groupe de ressources, la région et le type de plateforme.

  3. Sélectionnez Suivant : Ressources.

  4. Sélectionnez « Ajouter des ressources ». Utilisez les filtres pour trouver la machine virtuelle que vous allez utiliser pour collecter les journaux.

  5. Sélectionnez la machine virtuelle. Sélectionnez Appliquer.

  6. Sélectionnez Suivant : Collecter et livrer.

  7. Sélectionnez Ajouter une source de données. Pour Type de source de données, sélectionnez Syslog Linux.

  8. Pour Niveau de journal minimal, conservez les valeurs par défaut LOG_DEBUG.

  9. Sélectionnez Suivant : Destination.

  10. Sélectionnez « Ajouter une destination » et ajoutez le type de destination, l’abonnement et le compte ou l’espace de noms.

  11. Sélectionnez Ajouter une source de données. Sélectionnez Suivant : Vérifier + créer.

  12. Sélectionnez Créer. Patientez 20 minutes. Dans Microsoft Sentinel ou Azure Monitor, vérifiez que l’agent Azure Monitor s’exécute sur votre machine virtuelle. Lien de référence

  13. Étapes pour ingérer des données Netflow dans Microsoft Sentinel

Pour ingérer des données Netflow dans Microsoft Sentinel, Filebeat et Logstash doivent être installés et configurés sur la machine virtuelle. Après la configuration, la machine virtuelle sera en mesure de recevoir des données Netflow sur le port configuré et ces données seront ingérées dans l’espace de travail de Microsoft Sentinel.

2.1 Installer Filebeat et Logstash

  1. Pour l’installation de Filebeat et Logstash à l’aide d’apt, reportez-vous à ce document :
  2. Filebeat : https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html.
  3. Logstash : https://www.elastic.co/guide/en/logstash/current/installing-logstash.html.
  4. Pour l’installation de Filebeat et Logstash pour Linux basé sur RedHat (yum), les étapes sont les suivantes :
  5. Filebeat : https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum.
  6. Logstash : https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum

2.2 Configurer Filebeat pour envoyer des événements à Logstash

  1. Modifiez le fichier filebeat.yml : vi /etc/filebeat/filebeat.yml
  2. Ajoutez les marques de commentaire dans la section Sortie d’Elasticsearch.
  3. Supprimer les marques de commentaire de la section Sortie des journaux d’activité (supprimer les marques de commentaire uniquement sur ces deux lignes)- les hôtes output.logstash : ["localhost:5044"]
  4. Dans la section Sortie de Logstash, si vous souhaitez envoyer les données par un port autre que le port par défaut, c’est-à-dire le port 5044, remplacez le numéro de port dans le champ hosts. (Remarque : ce port doit être ajouté dans le fichier conf lors de la configuration de Logstash.)
  5. Dans la section « filebeat.inputs », ajouter les marques de commentaire dans la configuration existante et ajoutez la configuration suivante : tapez : netflow max_message_size : 10 Ko hôte : « 0.0.0.0:2055 » protocoles : [ v5, v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions: - /etc/filebeat/custom.yml detect_sequence_reset: true enabled: true enabled: true
  6. Dans la section Entrées Filebeat, si vous souhaitez recevoir les données par un port autre que le port par défaut, c’est-à-dire le port 2055, remplacez le numéro de port dans le champ hôte.
  7. Ajoutez le fichier fourni custom.yml dans le répertoire /etc/filebeat/.
  8. Ouvrez le port d’entrée et de sortie de Filebeat dans le pare-feu.
  9. Exécutez la commande : firewall-cmd --zone=public --permanent --add-port=2055/udp.
  10. Exécutez la commande : firewall-cmd --zone=public --permanent --add-port=5044/udp.

Remarque : si un port personnalisé est ajouté pour l’entrée/sortie de Filebeat, ouvrez ce port dans le pare-feu.

2.3 Configurer Logstash pour envoyer des événements à Microsoft Sentinel

  1. Installez le plug-in Azure Log Analytics :
  2. Exécutez la commande : sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
  3. Stockez la clé de l’espace de travail Log Analytics dans le magasin de clés Logstash. La clé d’espace de travail se trouve dans le portail Azure sous Espace de travail Log Analytics >. Sélectionnez l’espace de travail > sous Paramètres, puis sélectionnez l’agent d’instructions Log Analytics >.
  4. Copiez la clé primaire et exécutez les commandes suivantes :
  5. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
  6. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
  7. Créez le fichier de configuration /etc/logstash/cisco-netflow-to-sentinel.conf: input { beats { port =>port_number # (Entrez le numéro de port de sortie qui a été configuré pendant la configuration filebeat, c’est-à-dire. fichier filebeat.yml.) } } output { microsoft-logstash-output-azure-loganalytics { workspace_id =< « >workspace_id> » workspace_key =< « ${LogAnalyticsKey} » custom_log_table_name => « CiscoSDWANNetflow » } }>>

Remarque : si la table n’est pas présente dans Microsoft Sentinel, une nouvelle table est créée dans Sentinel.

2.4 Exécuter Filebeat :

  1. Ouvrez un terminal et exécutez la commande :

systemctl start filebeat

  1. Cette commande démarre l’exécution de Filebeat en arrière-plan. Pour voir les journaux, arrêtez Filebeat (systemctl stop filebeat), puis exécutez la commande suivante :

filebeat run -e

2.5 Exécuter Logstash :

  1. Dans un terminal, exécutez la commande :

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &

  1. Cette commande démarre l’exécution de Logstash en arrière-plan. Pour voir les journaux de Logstash, arrêtez le processus ci-dessus et exécutez la commande suivante :

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.