Łącznik Cisco Meraki dla usługi Microsoft Sentinel
Łącznik Cisco Meraki umożliwia łatwe łączenie dzienników Cisco Meraki (MX/MR/MS) z usługą Microsoft Sentinel. Zapewnia to lepszy wgląd w sieć organizacji i zwiększa możliwości operacji zabezpieczeń.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
atrybut Połączenie or | opis |
---|---|
Tabele usługi Log Analytics | meraki_CL |
Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
Obsługiwane przez | Microsoft Corporation |
Przykłady zapytań
Łączna liczba zdarzeń według typu dziennika
CiscoMeraki
| summarize count() by LogType
10 zablokowanych Połączenie ions
CiscoMeraki
| where LogType == "security_event"
| where Action == "block"
| summarize count() by SrcIpAddr, DstIpAddr, Action, Disposition
| top 10 by count_
Wymagania wstępne
Aby zintegrować aplikację Cisco Meraki, upewnij się, że masz:
- Cisco Meraki: należy skonfigurować do eksportowania dzienników za pośrednictwem dziennika systemowego
Instrukcje instalacji dostawcy
UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami, która jest wdrażana w ramach rozwiązania. Aby wyświetlić kod funkcji w usłudze Log Analytics, otwórz blok Dzienniki usługi Log Analytics/Microsoft Sentinel, kliknij pozycję Funkcje i wyszukaj alias CiscoMeraki i załaduj kod funkcji lub kliknij tutaj. Aktywacja funkcji zwykle trwa od 10 do 15 minut po zainstalowaniu/aktualizacji rozwiązania.
- Instalowanie i dołączanie agenta dla systemu Linux
Zazwyczaj należy zainstalować agenta na innym komputerze niż ten, na którym są generowane dzienniki.
Dzienniki dziennika systemowego są zbierane tylko z agentów systemu Linux .
- Konfigurowanie dzienników do zebrania
Wykonaj poniższe kroki konfiguracji, aby uzyskać dzienniki urządzeń Cisco Meraki w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji na temat tych kroków, zapoznaj się z dokumentacją usługi Azure Monitor. W przypadku dzienników Cisco Meraki występują problemy podczas analizowania danych przez agenta pakietu OMS przy użyciu ustawień domyślnych. Dlatego zalecamy przechwycenie dzienników do tabeli niestandardowej meraki_CL , korzystając z poniższych instrukcji.
Zaloguj się do serwera, na którym zainstalowano agenta pakietu OMS.
Pobierz plik konfiguracji meraki.conf wget -v https://aka.ms/sentinel-ciscomerakioms-conf -O meraki.conf
Skopiuj plik meraki.conf do folderu /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/. cp meraki.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/
Edytuj plik meraki.conf w następujący sposób:
a. domyślnie meraki.conf używa portu 22033 . Upewnij się, że ten port nie jest używany przez żadne inne źródło na serwerze
b. Jeśli chcesz zmienić port domyślny dla pliku meraki.conf , upewnij się, że nie używasz domyślnych portów agenta monitorowania platformy Azure /log analitycznego, tj. (Na przykład format CEF używa portu TCP 25226 lub 25224)
c. zastąp workspace_id wartością rzeczywistą identyfikatora obszaru roboczego (wiersze 14,15,16,19)
Zapisz zmiany i uruchom ponownie agenta usługi Azure Log Analytics dla systemu Linux za pomocą następującego polecenia: sudo /opt/microsoft/omsagent/bin/service_control restart
Zmodyfikuj plik /etc/rsyslog.conf — dodaj poniższy szablon najlepiej na początku /przed sekcją dyrektyw $template meraki,"%timestamp% %hostname% %msg%\n"
Utwórz niestandardowy plik conf w pliku /etc/rsyslog.d/ na przykład 10-meraki.conf i dodaj następujące warunki filtrowania.
Po dodaniu instrukcji należy utworzyć filtr, który określi dzienniki pochodzące z aplikacji Cisco Meraki do przekazania do tabeli niestandardowej.
dokumentacja: Warunki filtrowania — dokumentacja rsyslog 8.18.0.master
Oto przykład filtrowania, który można zdefiniować, to nie jest ukończone i będzie wymagać dodatkowego testowania dla każdej instalacji. jeśli $rawmsg zawiera "przepływy", to @@127.0.0.1:22033; meraki & stop, jeśli $rawmsg zawiera "urls", to @@127.0.0.1:22033; meraki & stop, jeśli $rawmsg zawiera "ids-alerts", to @@127.0.0.1:22033; meraki & stop, jeśli $rawmsg zawiera "zdarzenia", to @@127.0.0.1:22033; meraki & stop, jeśli $rawmsg zawiera "ip_flow_start", to @@127.0.0.1:22033; meraki & stop, jeśli $rawmsg zawiera "ip_flow_end", to @@127.0.0.1:22033; meraki & stop
Uruchom ponownie rsyslog systemctl restart rsyslog
Konfigurowanie i łączenie urządzeń Cisco Meraki
Postępuj zgodnie z tymi instrukcjami , aby skonfigurować urządzenia Cisco Meraki do przesyłania dalej dziennika systemowego. Użyj adresu IP lub nazwy hosta dla urządzenia z systemem Linux z agentem systemu Linux zainstalowanym jako docelowy adres IP.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.