Microsoft Sentinel 用 Cisco Meraki コネクタ
Cisco Meraki コネクタを使用すると、Cisco Meraki (MX/MR/MS) ログを Microsoft Sentinel に簡単に接続できます。 これにより、組織のネットワークに関するより詳細な分析情報が得られ、セキュリティ運用機能が向上します。
コネクタの属性
コネクタ属性 | 説明 |
---|---|
Log Analytics テーブル | meraki_CL |
データ収集ルールのサポート | 現在、サポートされていません |
サポートしているもの | Microsoft Corporation |
クエリのサンプル
ログの種類ごとのイベント合計
CiscoMeraki
| summarize count() by LogType
ブロックされた上位 10 個の接続
CiscoMeraki
| where LogType == "security_event"
| where Action == "block"
| summarize count() by SrcIpAddr, DstIpAddr, Action, Disposition
| top 10 by count_
前提条件
Cisco Meraki と統合するには、次のことを確認してください。
- Cisco Meraki: Syslog を使用してログをエクスポートするように構成する必要があります
ベンダーのインストール手順
注: このデータ コネクタは、ソリューションの一部としてデプロイされている Kusto 関数に基づくパーサーを利用して正常に動作します。 Log Analytics で関数コードを表示するには、Log Analytics/Microsoft Sentinel ログ ブレードを開き、関数 をクリックしてエイリアス CiscoMeraki を検索し、関数コードを読み込むか、ここをクリックします。 この関数は、通常、ソリューションのインストール/更新後にアクティブ化されるまでに 10 から 15 分かかります。
- Linux 用エージェントをインストールおよびオンボードする
一般的に、エージェントは、ログが生成されるコンピューターとは別のコンピューターにインストールする必要があります。
Syslog ログは Linux エージェントからのみ収集されます。
- 収集するログを構成する
次の構成手順に従って、Cisco Meraki デバイスのログを Microsoft Sentinel に取り込みます。 以下に示す手順の詳細については、Azure Monitor のドキュメントをご覧ください。 Cisco Meraki ログでは、既定の設定を使用した OMS エージェント データによるデータの解析中に問題が発生します。 そのため、以下の手順を使用して、カスタム テーブル meraki_CL にログを取り込むことをお客様にアドバイスします。
OMS エージェントをインストールしたサーバーにログインします。
構成ファイル meraki.conf をダウンロードします。wget -v https://aka.ms/sentinel-ciscomerakioms-conf -O meraki.conf
meraki.conf を /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ フォルダーにコピーします。 cp meraki.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/
次のように meraki.conf を編集します。
a. meraki.conf では、既定でポート 22033 が使用されます。 このポートがサーバー上の他のソースで使用されていないことを確認します
b. meraki.conf の既定のポートを変更する場合は、既定の Azure 監視/ログ分析エージェント ポートを使用していないことを確認してください (たとえば、CEF では TCP ポート 25226 または 25224 を使用します)
c. workspace_id を実際のワークスペース ID の値に置き換えます (14、15、16、19 行目)
変更を保存し、次のコマンドを使用して Linux サービス用 Azure Log Analytics エージェントを再起動します: sudo /opt/microsoft/omsagent/bin/service_control restart
/etc/rsyslog.conf ファイルを変更します - 次のテンプレートをディレクティブ セクションの先頭または前に追加します $template meraki,"%timestamp% %hostname% %msg%\n"
/etc/rsyslog.d/ にカスタム conf ファイル (例: 10-meraki.conf) を作成し、次のフィルター条件を追加します。
ステートメントを追加したら、カスタム テーブルに転送する Cisco Meraki からのログを指定するフィルターを作成する必要があります。
参照: フィルター条件 — rsyslog 8.18.0.master ドキュメント
定義できるフィルター処理の例を次に示します。これは完成していないため、インストールごとに追加のテストが必要になります。 $rawmsgに "flows" が含まれている場合は @@127.0.0.1:22033;meraki & stop if $rawmsg contains "urls" then @@127.0.0.1:22033;meraki & $rawmsgに "ids-alerts" が含まれている場合は停止し、@@127.0.0.1:22033;meraki & stop if $rawmsg contains "events" then @@127.0.0.1:22033;meraki & stop if $rawmsg contains "ip_flow_start" then @@127.0.0.1:22033;meraki & stop if $rawmsg contains "ip_flow_end" then @@127.0.0.1:22033;meraki > stop
rsyslog を再起動します systemctl restart rsyslog
Cisco Meraki のデバイスを構成して接続する
これらの指示に従って、Syslog を転送するように Cisco Meraki のデバイスを構成します。 Linux エージェントがインストールされている Linux デバイスの IP アドレスまたはホスト名を接続先 IP アドレスとして使用します。
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。