Microsoft Sentinel 用 Cisco Software Defined WAN コネクタ

  • [アーティクル]

Cisco Software Defined WAN(SD-WAN) データ コネクタは、Cisco SD-WAN Syslog と Netflow のデータを Microsoft Sentinel に取り込む機能を備えています。

コネクタの属性

コネクタ属性 説明
Kusto 関数エイリアス CiscoSyslogUTD
Kusto 関数 URL https://aka.ms/sentinel-CiscoSyslogUTD-parser
Log Analytics テーブル syslog
CiscoSDWANNetflow_CL
データ収集ルールのサポート ワークスペース変換 DCR
サポートしているもの Cisco Systems

クエリのサンプル

Syslog イベント - すべての Syslog イベント。

Syslog

| sort by TimeGenerated desc

Cisco SD-WAN Netflow イベント - すべての Netflow イベント。

CiscoSDWANNetflow_CL

| sort by TimeGenerated desc

ベンダーのインストール手順

Cisco SD-WAN Syslog と Netflow のデータは Microsoft Sentinel に以下の手順で取り込みます。

  1. Microsoft Sentinel に Syslog データを取り込む手順

Azure Monitor Agent を使用して Syslog データを Microsoft Sentinel に取り込みます。 そのためにはまず、VM 用の Azure Arc サーバーを作成し、それを Syslog データの送信元とします。

1.1 Azure Arc サーバーを追加する手順

  1. Azure portal で [サーバー - Azure Arc] に移動し、[追加] をクリックします。
  2. [単一サーバーの追加] セクションで [スクリプトの生成] を選択します。 ユーザーは複数のサーバーのスクリプトを生成することもできます。
  3. [前提条件] ページで情報を確認し、[次へ] を選びます。
  4. [リソースの詳細] ページで、Microsoft Sentinel、リージョン、オペレーティング システム、接続方法のサブスクリプションとリソース グループを指定します。 [次へ] を選択します。
  5. [タグ] ページで、提案されている既定の物理的な場所のタグを確認し、値を入力するか、カスタム タグを 1 つ以上指定して標準をサポートします。 [次へ] をクリックします
  6. [ダウンロード] を選択してスクリプト ファイルを保存します。
  7. スクリプトを生成したら、次の手順として、Azure Arc にオンボードするサーバーでそのスクリプトを実行します。
  8. Azure VM がある場合、スクリプトを実行する前にこちらのリンクに記載されている手順に従います。
  9. コマンド ./<ScriptName>.sh でスクリプトを実行します。
  10. エージェントをインストールし、それを Azure Arc 対応サーバーに接続するように構成したら、Azure portal に移動して、サーバーが正常に接続されたことを確認します。 対象のマシンが Azure portal に表示されます。

参照リンク:https://learn.microsoft.com/azure/azure-arc/servers/learn/quick-enable-hybrid-vm

1.2 データ収集ルール (DCR) の作成手順

  1. Azure portal で "モニター" を検索します。 [設定] で [データ収集ルール] を選択し、[作成] を選択します。
  2. [基本] パネルで、[ルール名]、[サブスクリプション]、[リソース グループ]、[リージョン]、[プラットフォームの種類] に入力します。
  3. [次へ: リソース] を選択します。
  4. [リソースの追加] を選択します。フィルターを使用し、ログの収集に使用する仮想マシンを見つけます。
  5. 仮想マシンを選択します。 [適用] を選択します。
  6. [次へ: 収集と配信] を選択します。
  7. [Add data source (データ ソースの追加)]を選択します。 [データ ソースの種類] には [Linux syslog] を選択します。
  8. [最小のログ レベル] は、既定値 LOG_DEBUG のままにします。
  9. [次へ: ターゲット] を選択します。
  10. [宛先の追加] を選択し、[宛先の種類]、[サブスクリプション]、[アカウントまたは名前空間] を追加します。
  11. [Add data source (データ ソースの追加)]を選択します。 [次へ: 確認と作成] を選択します。
  12. [作成] を選択します。 20 分間待機します。 Microsoft Sentinel または Azure Monitor で、Azure Monitor エージェントが VM で実行されていることを確認します。

参照リンク:https://learn.microsoft.com/azure/sentinel/forward-syslog-monitor-agent

  1. Microsoft Sentinel に Netflow データを取り込む手順

Netflow データを Microsoft Sentinel に取り込むには、Filebeat と Logstash を VM にインストールして構成する必要があります。 構成後、VM は構成されたポートで Netflow データを受信できます。そのデータは Microsoft Sentinel のワークスペースに取り込まれます。

2.1 Filebeat と Logstash をインストールする

  1. apt を使用した Filebeat と Logstash のインストールについては、次のドキュメントを参照してください。
  2. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html
  3. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html
  4. RedHat ベース Linux (yum) で Filebeat と Logstash をインストールする手順は次のようになります。
  5. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum
  6. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum

2.2 Logstash にイベントを送信するように Filebeat を構成する

  1. filebeat.yml ファイル vi /etc/filebeat/filebeat.yml を編集します
  2. Elasticsearch 出力セクションをコメントアウトします。
  3. [Logstash 出力のコメントを解除する] セクション (これら 2 つの行だけ、コメントを解除する) - output.logstash ホスト: ["localhost:5044"]
  4. [Logstash 出力] セクションで、既定のポート (つまり 5044 ポート) 以外のデータを送信する場合、[ホスト] フィールドのポート番号を置換します。 (注: このポートは logstash の構成中に conf ファイルに追加する必要があります)
  5. [filebeat.inputs] セクションで既存の構成をコメントアウトし、次の構成を追加します: - 型: netflow max_message_size: 10KiB ホスト: "0.0.0.0:2055" プロトコル: [ v5, v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions: - /etc/filebeat/custom.yml detect_sequence_reset: true 有効: true
  6. [Filebeat 入力] セクションで、既定のポート (つまり 2055 ポート) 以外のデータを受信する場合、[ホスト] フィールドのポート番号を置換します。
  7. 指定された custom.yml ファイルを /etc/filebeat/ ディレクトリ内に追加します。
  8. ファイアウォールで Filebeat 入出力ポートを開きます。
  9. コマンド firewall-cmd --zone=public --permanent --add-port=2055/udp を実行します。
  10. コマンド firewall-cmd --zone=public --permanent --add-port=5044/udp を実行します。

注: Filebeat 入出力用にカスタム ポートが追加されている場合、そのポートをファイアウォールで開きます。

2.3 イベントを Microsoft Sentinel に送信するように Logstash を構成する

  1. Azure Log Analytics プラグインをインストールします。
  2. コマンド sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics を実行します
  3. Logstash キー ストアに Log Analytics ワークスペース キーを格納します。 ワークスペース キーは、Azure portal の [ログ分析ワークスペース] にあります。[ワークスペース] を選択したら、[設定] で [エージェント] を選択し、Log Analytics エージェントの指示を見てください。
  4. 主キーをコピーし、次のコマンドを実行します。
  5. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
  6. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
  7. 構成ファイル /etc/logstash/cisco-netflow-to-sentinel.conf を作成します: 入力 { beats { port =><port_number> #(filebeat すなわち filebeat.yml ファイルの構成中に構成した出力ポート番号を入力) } } 出力 { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } }

注: Microsoft Sentinel にテーブルが存在しない場合は、Sentinel に新しいテーブルが作成されます。

2.4 Filebeat を実行する:

  1. ターミナルを開き、 次のコマンドを実行します。

systemctl start filebeat

  1. このコマンドにより、バックグラウンドで filebeat の実行が開始されます。 ログを表示するには、filebeat (systemctl stop filebeat) を停止し、次のコマンドを実行します。

filebeat run -e

2.5 Logstash を実行する:

  1. 別のターミナルで次のコマンドを実行します。

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &

  1. このコマンドにより、バックグラウンドで logstash の実行が開始されます。 logstash のログを表示するには、上記のプロセスを中止し、次のコマンドを実行します。

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf

次のステップ

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。