Cisco Software Defined WAN-összekötő a Microsoft Sentinelhez

  • Cikk

A Cisco szoftveralapú WAN(SD-WAN) adatösszekötője lehetővé teszi a Cisco SD-WAN Syslog- és Netflow-adatok Microsoft Sentinelbe való betöltését.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Csatlakozás or attribútumok

Csatlakozás or attribútum Leírás
Kusto függvény aliasa CiscoSyslogUTD
Kusto függvény URL-címe https://aka.ms/sentinel-CiscoSyslogUTD-parser
Log Analytics-tábla(ok) Rendszernapló
CiscoSDWANNetflow_CL
Adatgyűjtési szabályok támogatása Munkaterület-átalakítás – DCR
Támogatja: Cisco-rendszerek

Példák lekérdezésekre

Syslog-események – Minden Syslog-esemény.

Syslog

| sort by TimeGenerated desc

Cisco SD-WAN Netflow-események – Minden Netflow-esemény.

CiscoSDWANNetflow_CL

| sort by TimeGenerated desc

Szállító telepítési útmutatója

A Cisco SD-WAN Syslog- és Netflow-adatok Microsoft Sentinelbe való betöltéséhez kövesse az alábbi lépéseket.

  1. A Syslog-adatok Microsoft sentinelbe való betöltésének lépései

Az Azure Monitor Agent használatával gyűjthetők a syslog-adatok a Microsoft Sentinelbe. Ehhez először létre kell hoznia egy Azure Arc-kiszolgálót ahhoz a virtuális géphez, amelyről a rendszer naplóadatokat küld.

1.1 Az Azure Arc Server hozzáadásának lépései

  1. Az Azure Portalon lépjen a Kiszolgálók – Azure Arc lapra, és kattintson a Hozzáadás gombra.
  2. Válassza a Szkript létrehozása lehetőséget az Egyetlen kiszolgáló hozzáadása szakaszban. A felhasználók szkripteket is létrehozhatnak több kiszolgálóhoz is.
  3. Tekintse át az Előfeltételek lapon található információkat, majd válassza a Tovább gombot.
  4. Az Erőforrás részletei lapon adja meg a Microsoft Sentinel, régió, operációs rendszer és Csatlakozás ivity metódus előfizetését és erőforráscsoportját. Ezután válassza a Tovább gombra.
  5. A Címkék lapon tekintse át a javasolt alapértelmezett fizikai helycímkéket, adjon meg egy értéket, vagy adjon meg egy vagy több egyéni címkét a szabványok támogatásához. Ezután válassza a Tovább elemet
  6. Válassza a Letöltés lehetőséget a szkriptfájl mentéséhez.
  7. Most, hogy létrehozta a szkriptet, a következő lépés az, hogy azon a kiszolgálón futtassa, amelyet az Azure Arcba szeretne előkészíteni.
  8. Ha Azure-beli virtuális géppel rendelkezik, kövesse a hivatkozásban említett lépéseket a szkript futtatása előtt.
  9. Futtassa a szkriptet a következő paranccsal: ./<ScriptName>.sh
  10. Miután telepítette az ügynököt, és konfigurálta az Azure Arc-kompatibilis kiszolgálókhoz való csatlakozásra, lépjen az Azure Portalra, és ellenőrizze, hogy a kiszolgáló sikeresen csatlakozott-e. A gép megtekintése az Azure Portalon. Hivatkozás hivatkozása

1.2 Az adatgyűjtési szabály (DCR) létrehozásának lépései

  1. Az Azure Portalon keresse meg a Monitort. A Gépház területen válassza az Adatgyűjtési szabályok és a Létrehozás lehetőséget.

  2. Az Alapszintű panelen adja meg a szabály nevét, előfizetését, erőforráscsoportját, régióját és platformtípusát.

  3. Válassza a Következő: Erőforrások lehetőséget.

  4. Válassza az Erőforrások hozzáadása lehetőséget. A szűrőkkel megkeresheti a naplók gyűjtéséhez használni kívánt virtuális gépet.

  5. Válassza ki a virtuális gépet. Válassza az Alkalmazás lehetőséget.

  6. Válassza a Tovább elemet: Gyűjtse össze és kézbesítse.

  7. Válassza az Adatforrás hozzáadása lehetőséget. Adatforrástípus esetén válassza a Linux syslog lehetőséget.

  8. A minimális naplószintnél hagyja meg az alapértelmezett értékeket LOG_DEBUG.

  9. Válassza a Tovább: Cél lehetőséget.

  10. Válassza a Cél hozzáadása lehetőséget, és adja hozzá a céltípust, az előfizetést, a fiókot vagy a névteret.

  11. Válassza az Adatforrás hozzáadása lehetőséget. Válassza a Tovább: Ellenőrzés és létrehozás lehetőségre.

  12. Válassza a Létrehozás lehetőséget. Várjon 20 percet. A Microsoft Sentinelben vagy az Azure Monitorban ellenőrizze, hogy az Azure Monitor-ügynök fut-e a virtuális gépen. Hivatkozás hivatkozása

  13. A Netflow-adatok Microsoft sentinelbe való betöltésének lépései

A Netflow-adatok Microsoft sentinelbe való betöltéséhez telepíteni és konfigurálni kell a Filebeat-t és a Logstash-t a virtuális gépen. A konfiguráció után a virtuális gép képes lesz netflow-adatokat fogadni a konfigurált porton, és az adatok a Microsoft sentinel munkaterületére kerülnek.

2.1 A filebeat és a logstash telepítése

  1. A filebeat és logstash apt használatával történő telepítéséhez tekintse meg ezt a dokumentumot:
  2. Fájlbeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html.
  3. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html.
  4. A RedHat-alapú Linux (yum) fájlbeat és logstash telepítésének lépései a következők:
  5. Fájlbeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum.
  6. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum

2.2 A Filebeat konfigurálása események logstashba való küldéséhez

  1. Filebeat.yml fájl szerkesztése: vi /etc/filebeat/filebeat.yml
  2. Az Elasticsearch Output szakasz megjegyzése.
  3. Uncomment Logstash Output section (Uncomment out only these two lines)- output.logstash hosts: ["localhost:5044"]
  4. A Logstash Kimenet szakaszában, ha nem az alapértelmezett portot, azaz az 5044-es portot szeretné elküldeni, cserélje le a gazdagépek mező portszámát. (Megjegyzés: Ezt a portot hozzá kell adni a conf fájlhoz a logstash konfigurálása közben.)
  5. A "filebeat.inputs" szakaszban megjegyzést fűzzön a meglévő konfigurációhoz, és adja hozzá a következő konfigurációt: - típus: netflow max_message_size: 10KiB gazdagép: "0.0.0.0:2055" protokollok: [ v5, v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions: - /etc/filebeat/custom.yml detect_sequence_reset: true enabled: true enabled: true
  6. A Fájlbemenetek szakaszban, ha nem az alapértelmezett portot, azaz a 2055-ös portot szeretné megkapni, cserélje le a gazdagépmező portszámát.
  7. Adja hozzá a megadott custom.yml fájlt a /etc/filebeat/ könyvtárba.
  8. Nyissa meg a filebeat bemeneti és kimeneti portot a tűzfalon.
  9. Parancs futtatása: firewall-cmd --zone=public --permanent --add-port=2055/udp
  10. Parancs futtatása: firewall-cmd --zone=public --permanent --add-port=5044/udp

Megjegyzés: ha a fájlbemenethez/kimenethez egyéni portot ad hozzá, nyissa meg a portot a tűzfalon.

2.3 A Logstash konfigurálása események Microsoft Sentinelnek való küldéséhez

  1. Telepítse az Azure Log Analytics beépülő modult:
  2. Parancs futtatása: sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
  3. Tárolja a Log Analytics-munkaterület kulcsát a Logstash kulcstárolójában. A munkaterületkulcs az Azure Portalon, a Log analitikus munkaterület Kiválasztása munkaterület >> alatt található, Gépház válassza az Ügynök Log Analytics-ügynök > utasításait.
  4. Másolja ki az elsődleges kulcsot, és futtassa a következő parancsokat:
  5. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
  6. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
  7. Hozza létre a konfigurációs fájlt /etc/logstash/cisco-netflow-to-sentinel.conf: input { beats { port =><port_number> #(Adja meg a fájlbeatkonfigurálás során konfigurált kimeneti port számát, azaz filebeat.yml fájl .) } } kimenete { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } }

Megjegyzés: Ha a tábla nincs jelen a Microsoft sentinelben, akkor létrehoz egy új táblát a sentinelben.

2.4 A Filebeat futtatása:

  1. Nyisson meg egy terminált, és futtassa a parancsot:

systemctl start filebeat

  1. Ez a parancs elindítja a filebeat futtatását a háttérben. A naplók megtekintéséhez állítsa le a filebeat (systemctl stop filebeat) fájlt, majd futtassa a következő parancsot:

filebeat run -e

2.5 A Logstash futtatása:

  1. Egy másik terminálon futtassa a következő parancsot:

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &

  1. Ez a parancs elindítja a logstash futtatását a háttérben. A logstash naplóinak megtekintéséhez ölje meg a fenti folyamatot, és futtassa a következő parancsot:

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.