Microsoft Sentinel 用 Ubiquiti UniFi (Azure Functions を使用) コネクタ
Ubiquiti UniFi データ コネクタでは、Ubiquiti UniFi ファイアウォール、dns、ssh、AP イベントを Microsoft Sentinel に取り込む機能を提供します。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | Ubiquiti_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | Microsoft Corporation |
クエリのサンプル
上位 10 個のクライアント (ソース IP)
UbiquitiAuditEvent
| summarize count() by SrcIpAddr
| top 10 by count_
ベンダーのインストール手順
注意
このデータ コネクタは、Kusto 関数に基づくパーサー (Microsoft Sentinel ソリューションと共にデプロイされている UbiquitiAuditEvent) を利用して、想定のとおりに動作します。
注意
このデータ コネクタは、Enterprise System Controller リリース バージョン 5.6.2 (Syslog) を使用して開発されました。
- Linux 用または Windows 用エージェントのインストールとオンボード
Ubiquiti ログが Ubiquiti デバイス (リモート syslog サーバーなど) からのフォワーダーであるサーバーにエージェントをインストールします。
Linux または Windows サーバー上にデプロイされた Ubiquiti サーバーからのログは、Linux または Windows エージェントによって収集されます。
- 収集するログを構成する
次の構成手順に従って、Ubiquiti のログを Microsoft Sentinel に取り込みます。 以下に示す手順の詳細については、Azure Monitor のドキュメントをご覧ください。
Ubiquiti コントローラーでログのフォワーディングを構成します。
i. [設定] > [システム設定] > [コントローラーの構成] > [リモート ログ] に移動し、Syslog とデバッグ (オプション) のログを有効にします (詳細な手順については、「ユーザー ガイド」を参照してください)。
構成ファイル (Ubiquiti.conf) をダウンロードします。
Azure Log Analytics エージェントをインストールしたサーバーにログインします。
Ubiquiti.conf を /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ フォルダーにコピーします。
Ubiquiti.conf を次のように編集します。
i. ログを転送するように Ubiquiti デバイスを設定したポートを指定します (4 行目)。
ii. workspace_id を実際のワークスペース ID の値に置き換えます (14、15、16、19 行目)
変更を保存し、次のコマンドを使用して Linux サービス用 Azure Log Analytics エージェントを再起動します: sudo /opt/microsoft/omsagent/bin/service_control restart
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。