Microsoft Sentinel 用 Cisco Meraki コネクタ

  • [アーティクル]

Cisco Meraki コネクタを使用すると、Cisco Meraki (MX/MR/MS) ログを Microsoft Sentinel に簡単に接続できます。 これにより、組織のネットワークに関するより詳細な分析情報が得られ、セキュリティ運用機能が向上します。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル meraki_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Microsoft Corporation

クエリのサンプル

ログの種類ごとのイベント合計

CiscoMeraki 

| summarize count() by LogType

ブロックされた上位 10 個の接続

CiscoMeraki 

| where LogType == "security_event" 

| where Action == "block" 

| summarize count() by SrcIpAddr, DstIpAddr, Action, Disposition 

| top 10 by count_

前提条件

Cisco Meraki と統合するには、次のことを確認してください。

  • Cisco Meraki: Syslog を使用してログをエクスポートするように構成する必要があります

ベンダーのインストール手順

注: このデータ コネクタは、ソリューションの一部としてデプロイされている Kusto 関数に基づくパーサーを利用して正常に動作します。 Log Analytics で関数コードを表示するには、Log Analytics/Microsoft Sentinel ログ ブレードを開き、関数 をクリックしてエイリアス CiscoMeraki を検索し、関数コードを読み込むか、ここをクリックします。 この関数は、通常、ソリューションのインストール/更新後にアクティブ化されるまでに 10 から 15 分かかります。

  1. Linux 用エージェントをインストールおよびオンボードする

一般的に、エージェントは、ログが生成されるコンピューターとは別のコンピューターにインストールする必要があります。

Syslog ログは Linux エージェントからのみ収集されます。

  1. 収集するログを構成する

次の構成手順に従って、Cisco Meraki デバイスのログを Microsoft Sentinel に取り込みます。 以下に示す手順の詳細については、Azure Monitor のドキュメントをご覧ください。 Cisco Meraki ログでは、既定の設定を使用した OMS エージェント データによるデータの解析中に問題が発生します。 そのため、以下の手順を使用して、カスタム テーブル meraki_CL にログを取り込むことをお客様にアドバイスします。

  1. OMS エージェントをインストールしたサーバーにログインします。

  2. 構成ファイル meraki.conf をダウンロードします。wget -v https://aka.ms/sentinel-ciscomerakioms-conf -O meraki.conf

  3. meraki.conf を /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ フォルダーにコピーします。 cp meraki.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/

  4. 次のように meraki.conf を編集します。

    a. meraki.conf では、既定でポート 22033 が使用されます。 このポートがサーバー上の他のソースで使用されていないことを確認します

    b. meraki.conf の既定のポートを変更する場合は、既定の Azure 監視/ログ分析エージェント ポートを使用していないことを確認してください (たとえば、CEF では TCP ポート 25226 または 25224 を使用します)

    c. workspace_id を実際のワークスペース ID の値に置き換えます (14、15、16、19 行目)

  5. 変更を保存し、次のコマンドを使用して Linux サービス用 Azure Log Analytics エージェントを再起動します: sudo /opt/microsoft/omsagent/bin/service_control restart

  6. /etc/rsyslog.conf ファイルを変更します - 次のテンプレートをディレクティブ セクションの先頭または前に追加します $template meraki,"%timestamp% %hostname% %msg%\n"

  7. /etc/rsyslog.d/ にカスタム conf ファイル (例: 10-meraki.conf) を作成し、次のフィルター条件を追加します。

    ステートメントを追加したら、カスタム テーブルに転送する Cisco Meraki からのログを指定するフィルターを作成する必要があります。

    参照: フィルター条件 — rsyslog 8.18.0.master ドキュメント

    定義できるフィルター処理の例を次に示します。これは完成していないため、インストールごとに追加のテストが必要になります。 $rawmsgに "flows" が含まれている場合は @@127.0.0.1:22033;meraki & stop if $rawmsg contains "urls" then @@127.0.0.1:22033;meraki & $rawmsgに "ids-alerts" が含まれている場合は停止し、@@127.0.0.1:22033;meraki & stop if $rawmsg contains "events" then @@127.0.0.1:22033;meraki & stop if $rawmsg contains "ip_flow_start" then @@127.0.0.1:22033;meraki & stop if $rawmsg contains "ip_flow_end" then @@127.0.0.1:22033;meraki > stop

  8. rsyslog を再起動します systemctl restart rsyslog

  9. Cisco Meraki のデバイスを構成して接続する

これらの指示に従って、Syslog を転送するように Cisco Meraki のデバイスを構成します。 Linux エージェントがインストールされている Linux デバイスの IP アドレスまたはホスト名を接続先 IP アドレスとして使用します。

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。