Connecteur Ubiquiti UniFi (avec Azure Functions) pour Microsoft Sentinel

  • Article

Le connecteur de données Ubiquiti UniFi offre la possibilité d’ingérer les événements de pare-feu, DNS, SSH et point d’accès Ubiquiti dans Microsoft Sentinel.

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics Ubiquiti_CL
Support des Règles de collecte de données Non prise en charge pour le moment
Pris en charge par Microsoft Corporation

Exemples de requête

10 principaux clients (adresse IP source)

UbiquitiAuditEvent

| summarize count() by SrcIpAddr

| top 10 by count_

Instructions d’installation du fournisseur

Notes

Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu, UbiquitiAuditEvent, qui est déployé avec la solution Microsoft Sentinel.

Notes

Ce connecteur de données a été développé à l’aide de la version de Enterprise System Controller Release : 5.6.2 (Syslog)

  1. Installer et intégrer l’agent pour Linux ou Windows

Installez l’agent sur le serveur vers lequel les journaux Ubiquiti sont redirigés à partir de l’appareil Ubiquiti (par exemple, serveur Syslog distant)

Les journaux d’activité du serveur Ubiquiti déployé sur des serveurs Linux ou Windows sont collectés par des agents Linux ou Windows.

  1. Configurer les journaux à collecter

Suivez les étapes de configuration ci-dessous pour accéder aux journaux Ubiquiti dans Microsoft Sentinel. Pour plus d’informations sur ces étapes, consultez la Documentation d’Azure Monitor.

  1. Configurez le transfert de journaux sur votre contrôleur Ubiquiti :

    i. Accédez à Paramètres > Configuration système > Configuration du contrôleur > Journalisation à distance et activez les journaux Syslog et de débogage (facultatif) (reportez-vous au Guide de l’utilisateur pour obtenir des instructions détaillées).

  2. Téléchargez le fichier config Ubiquiti.conf.

  3. Connectez-vous au serveur sur lequel vous avez installé l’agent Azure Log Analytics.

  4. Copiez Ubiquiti.conf dans le dossier /etc/opt/microsoft/omsagent/ID_espace_travail/conf/omsagent.d/.

  5. Modifiez Ubiquiti.conf comme suit :

    i. Spécifiez le port sur lequel vous avez défini votre appareil Ubiquiti pour transférer les journaux (ligne 4)

    ii. Remplacez ID_espace_travail par la valeur réelle d’ID de votre espace de travail (lignes 14, 15, 16, 19).

  6. Enregistrez les modifications et redémarrez l’agent Azure Log Analytics pour le service Linux avec la commande suivante : sudo /opt/microsoft/omsagent/bin/service_control restart.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.