Conector WAN definida pelo software Cisco para o Microsoft Sentinel
O conector de dados WAN definida pelo software Cisco (SD-WAN) fornece a capacidade de ingerir dados do Cisco SD-WAN Syslog e do Netflow no Microsoft Sentinel.
Atributos do conector
Atributo do conector | Description |
---|---|
Alias de função do Kusto | CiscoSyslogUTD |
URL da função do Kusto | https://aka.ms/sentinel-CiscoSyslogUTD-parser |
Tabela(s) do Log Analytics | syslog CiscoSDWANNetflow_CL |
Suporte às regras de coleta de dados | DCR de transformação do espaço de trabalho |
Com suporte por | Cisco Systems |
Exemplos de consulta
Eventos do Syslog – Todos os Eventos do Syslog.
Syslog
| sort by TimeGenerated desc
Eventos do Netflow do Cisco SD-WAN – Todos os Eventos do Netflow.
CiscoSDWANNetflow_CL
| sort by TimeGenerated desc
Instruções de instalação do fornecedor
Para ingerir dados do Cisco SD-WAN Syslog e do Netflow no Microsoft Sentinel, siga as etapas abaixo.
- Etapas para ingerir dados do Syslog no Microsoft Sentinel
O Agente do Azure Monitor será usado para coletar os dados do syslog no Microsoft Sentinel. Para isso, primeiro é necessário criar um servidor do Azure Arc para a VM da qual os dados do syslog serão enviados.
1.1 Etapas para adicionar o servidor do Azure Arc
- No portal do Azure, acesse Servidores – Azure Arc e clique em Adicionar.
- Selecione Gerar Script em Adicionar uma única seção de servidor. Um usuário também pode gerar scripts para vários servidores.
- Revise as informações na página Pré-requisitos e selecione Avançar.
- Na página Detalhes do recurso, forneça a assinatura e o grupo de recursos do método Microsoft Sentinel, Região, Sistema operacional e Conectividade. Em seguida, selecione Avançar.
- Na página Marcas, examine as Marcas de localização física padrão sugeridas e insira um valor ou especifique uma ou mais Marcas personalizadas a fim de dar suporte aos seus padrões. Em seguida, selecione Avançar
- Selecione Baixar para salvar o arquivo de script.
- Agora que você gerou o script, a próxima etapa é executá-lo no servidor que você deseja integrar ao Azure Arc.
- Se você tiver uma VM do Azure, siga as etapas mencionadas no link antes de executar o script.
- Execute o script seguindo o seguinte comando:
./<ScriptName>.sh
- Depois de instalar o agente e configurá-lo para se conectar aos servidores habilitados para Azure Arc, acesse o portal do Azure para verificar se o servidor foi conectado com êxito. Exiba o seu computador no portal do Azure.
Link de referência:https://learn.microsoft.com/azure/azure-arc/servers/learn/quick-enable-hybrid-vm
1.2 Etapas para criar DCR (regra de coleta de dados)
- No Portal do Azure, pesquise Monitor. Em Configurações, selecione Regras de Coleta de Dados e Selecione Criar.
- No painel Básico, insira o Nome da Regra, Assinatura, Grupo de recursos, Região e Tipo de Plataforma.
- Selecione Avançar: Recursos.
- Selecione Adicionar recursos. Use os filtros para localizar a máquina virtual que será usada para coletar logs.
- Selecione a máquina virtual. Escolha Aplicar.
- Selecione Avançar: Coletar e entregar.
- Clique em Adicionar fonte de dados. Em Tipo de fonte de dados, selecione Syslog do Linux.
- Em Nível mínimo de log, deixe os valores padrão LOG_DEBUG.
- Selecione Avançar: Destino.
- Selecione Adicionar destino e adicione Tipo de destino, Assinatura e Conta ou namespace.
- Clique em Adicionar fonte de dados. Selecione Avançar: Examinar + Criar.
- Selecione Criar. Aguarde 20 minutos. No Microsoft Sentinel ou no Azure Monitor, verifique se o agente do Azure Monitor está em execução na VM.
Link de referência:https://learn.microsoft.com/azure/sentinel/forward-syslog-monitor-agent
- Etapas para ingerir dados do Netflow no Microsoft Sentinel
Para ingerir dados do Netflow no Microsoft Sentinel, o Filebeat e o Logstash precisam ser instalados e configurados na VM. Após a configuração, a vm poderá receber dados do netflow na porta configurada e esses dados serão ingeridos no workspace do Microsoft Sentinel.
2.1 Instalar o filebeat e o logstash
- Para a instalação do filebeat e do logstash usando apt, consulte este documento:
- Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html.
- Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html.
- Para a instalação do filebeat e do logstash para as etapas do Linux (yum) baseadas em RedHat estão as seguintes:
- Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum.
- Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum
2.2 Configurar o Filebeat para enviar eventos para o Logstash
- Editar arquivo filebeat.yml:
vi /etc/filebeat/filebeat.yml
- Comente a seção Saída do Elasticsearch.
- Remova a marca de comentário da seção Saída do Logstash (Remova a marca de comentário apenas dessas duas linhas)- hosts output.logstash: ["localhost:5044"]
- Na seção Saída do Logstash, se você quiser enviar os dados diferentes da porta padrão, ou seja, porta 5044, substitua o número da porta no campo hosts. (Observação: essa porta deve ser adicionada no arquivo de configuração, ao configurar o logstash.)
- Na seção "filebeat.inputs", comente a configuração existente e adicione a seguinte configuração: - type: netflow max_message_size: 10KiB host: "0.0.0.0:2055" protocols: [ v5, v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions: - /etc/filebeat/custom.yml detect_sequence_reset: true enabled: true
- Na seção Entradas do Filebeat, se você quiser receber os dados diferentes da porta padrão, ou seja, a porta 2055, substitua o número da porta no campo host.
- Adicione o arquivo custom.yml fornecido dentro do diretório /etc/filebeat/.
- Abra a porta de entrada e saída do filebeat no firewall.
- Execute o comando:
firewall-cmd --zone=public --permanent --add-port=2055/udp
- Execute o comando:
firewall-cmd --zone=public --permanent --add-port=5044/udp
Observação: se uma porta personalizada for adicionada para entrada/saída do filebeat, abra essa porta no firewall.
2.3 Configurar o Logstash para enviar eventos ao Microsoft Sentinel
- Instale o plug-in do Azure Log Analytics:
- Execute o Comando:
sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
- Armazene a chave do workspace do Log Analytics no repositório de chaves do Logstash. A chave do workspace pode ser encontrada no Portal do Azure em Workspace do Log Analytic > Selecione workspace > Em Configurações, selecione Agente > Instruções do agente do Log Analytics.
- Copie a chave primária e execute os seguintes comandos:
sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
- Crie o arquivo de configuração /etc/logstash/cisco-netflow-to-sentinel.conf: input { beats { port =><port_number> #(Insira o número da porta de saída que foi configurado durante a configuração do filebeat, ou seja, arquivo filebeat.yml .) } } output { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } }
Observação: Se a tabela não estiver presente no Microsoft Sentinel, ela criará uma nova tabela no Sentinel.
2.4 Executar o Filebeat:
- Abra um terminal e execute o comando:
systemctl start filebeat
- Esse comando começará a executar o filebeat em segundo plano. Para ver os logs pararem o filebeat (
systemctl stop filebeat
), execute o seguinte comando:
filebeat run -e
2.5 Executar o Logstash:
- Em outro terminal, execute o comando:
/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &
- Esse comando começará a executar o logstash em segundo plano. Para ver os logs do logstash, encerre o processo acima e execute o seguinte comando:
/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.