Łącznik Cisco Meraki dla usługi Microsoft Sentinel

  • Artykuł

Łącznik Cisco Meraki umożliwia łatwe łączenie dzienników Cisco Meraki (MX/MR/MS) z usługą Microsoft Sentinel. Zapewnia to lepszy wgląd w sieć organizacji i zwiększa możliwości operacji zabezpieczeń.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

atrybuty Połączenie or

atrybut Połączenie or opis
Tabele usługi Log Analytics meraki_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Microsoft Corporation

Przykłady zapytań

Łączna liczba zdarzeń według typu dziennika

CiscoMeraki 

| summarize count() by LogType

10 zablokowanych Połączenie ions

CiscoMeraki 

| where LogType == "security_event" 

| where Action == "block" 

| summarize count() by SrcIpAddr, DstIpAddr, Action, Disposition 

| top 10 by count_

Wymagania wstępne

Aby zintegrować aplikację Cisco Meraki, upewnij się, że masz:

  • Cisco Meraki: należy skonfigurować do eksportowania dzienników za pośrednictwem dziennika systemowego

Instrukcje instalacji dostawcy

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami, która jest wdrażana w ramach rozwiązania. Aby wyświetlić kod funkcji w usłudze Log Analytics, otwórz blok Dzienniki usługi Log Analytics/Microsoft Sentinel, kliknij pozycję Funkcje i wyszukaj alias CiscoMeraki i załaduj kod funkcji lub kliknij tutaj. Aktywacja funkcji zwykle trwa od 10 do 15 minut po zainstalowaniu/aktualizacji rozwiązania.

  1. Instalowanie i dołączanie agenta dla systemu Linux

Zazwyczaj należy zainstalować agenta na innym komputerze niż ten, na którym są generowane dzienniki.

Dzienniki dziennika systemowego są zbierane tylko z agentów systemu Linux .

  1. Konfigurowanie dzienników do zebrania

Wykonaj poniższe kroki konfiguracji, aby uzyskać dzienniki urządzeń Cisco Meraki w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji na temat tych kroków, zapoznaj się z dokumentacją usługi Azure Monitor. W przypadku dzienników Cisco Meraki występują problemy podczas analizowania danych przez agenta pakietu OMS przy użyciu ustawień domyślnych. Dlatego zalecamy przechwycenie dzienników do tabeli niestandardowej meraki_CL , korzystając z poniższych instrukcji.

  1. Zaloguj się do serwera, na którym zainstalowano agenta pakietu OMS.

  2. Pobierz plik konfiguracji meraki.conf wget -v https://aka.ms/sentinel-ciscomerakioms-conf -O meraki.conf

  3. Skopiuj plik meraki.conf do folderu /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/. cp meraki.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/

  4. Edytuj plik meraki.conf w następujący sposób:

    a. domyślnie meraki.conf używa portu 22033 . Upewnij się, że ten port nie jest używany przez żadne inne źródło na serwerze

    b. Jeśli chcesz zmienić port domyślny dla pliku meraki.conf , upewnij się, że nie używasz domyślnych portów agenta monitorowania platformy Azure /log analitycznego, tj. (Na przykład format CEF używa portu TCP 25226 lub 25224)

    c. zastąp workspace_id wartością rzeczywistą identyfikatora obszaru roboczego (wiersze 14,15,16,19)

  5. Zapisz zmiany i uruchom ponownie agenta usługi Azure Log Analytics dla systemu Linux za pomocą następującego polecenia: sudo /opt/microsoft/omsagent/bin/service_control restart

  6. Zmodyfikuj plik /etc/rsyslog.conf — dodaj poniższy szablon najlepiej na początku /przed sekcją dyrektyw $template meraki,"%timestamp% %hostname% %msg%\n"

  7. Utwórz niestandardowy plik conf w pliku /etc/rsyslog.d/ na przykład 10-meraki.conf i dodaj następujące warunki filtrowania.

    Po dodaniu instrukcji należy utworzyć filtr, który określi dzienniki pochodzące z aplikacji Cisco Meraki do przekazania do tabeli niestandardowej.

    dokumentacja: Warunki filtrowania — dokumentacja rsyslog 8.18.0.master

    Oto przykład filtrowania, który można zdefiniować, to nie jest ukończone i będzie wymagać dodatkowego testowania dla każdej instalacji. jeśli $rawmsg zawiera "przepływy", to @@127.0.0.1:22033; meraki & stop, jeśli $rawmsg zawiera "urls", to @@127.0.0.1:22033; meraki & stop, jeśli $rawmsg zawiera "ids-alerts", to @@127.0.0.1:22033; meraki & stop, jeśli $rawmsg zawiera "zdarzenia", to @@127.0.0.1:22033; meraki & stop, jeśli $rawmsg zawiera "ip_flow_start", to @@127.0.0.1:22033; meraki & stop, jeśli $rawmsg zawiera "ip_flow_end", to @@127.0.0.1:22033; meraki & stop

  8. Uruchom ponownie rsyslog systemctl restart rsyslog

  9. Konfigurowanie i łączenie urządzeń Cisco Meraki

Postępuj zgodnie z tymi instrukcjami , aby skonfigurować urządzenia Cisco Meraki do przesyłania dalej dziennika systemowego. Użyj adresu IP lub nazwy hosta dla urządzenia z systemem Linux z agentem systemu Linux zainstalowanym jako docelowy adres IP.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.