Conector Ubiquiti UniFi (versão prévia) para o Microsoft Sentinel

  • Artigo

O conector de dados UniFi Ubiquiti oferece a capacidade de ingerir eventos de API, firewall, DNS, SSH do Ubiquiti UniFi no Microsoft Sentinel.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics Ubiquiti_CL
Suporte às regras de coleta de dados Sem suporte no momento
Com suporte por Microsoft Corporation

Exemplos de consulta

10 Principais Clientes (IP de Origem)

UbiquitiAuditEvent

| summarize count() by SrcIpAddr

| top 10 by count_

Instruções de instalação do fornecedor

Observação

Esse conector de dados depende de um analisador baseado em uma Função do Kusto para funcionar como esperado, o UbiquitiAuditEvent, que é implantado com a Solução Microsoft Sentinel.

Observação

Esse conector de dados foi desenvolvido usando a versão de lançamento do Enterprise System Controller: 5.6.2 (Syslog)

  1. Instalar e integrar o agente para Linux ou Windows

Instale o agente no servidor para o qual os logs Ubiquiti são encaminhados a partir do dispositivo Ubiquiti (por exemplo, servidor Syslog remoto)

Os logs do Servidor Ubiquiti implantados em servidores Linux ou Windows são coletados por agentes do Linux ou do Windows.

  1. Configurar os logs a serem coletados

Siga as etapas de configuração abaixo para enviar os logs do Ubiquiti ao Microsoft Sentinel. Confira a Documentação do Azure Monitor para encontrar mais detalhes sobre essas etapas.

  1. Configure o encaminhamento de log no controlador Ubiquiti:

    i. Acesse Configurações > Configuração do sistema > Configuração do controlador > Registro em log remoto e habilite os logs de Syslog e depuração (opcional) (consulte o Guia do Usuário para obter instruções detalhadas).

  2. Baixe o arquivo de configuração Ubiquiti.conf.

  3. Entre no servidor em que você instalou o agente do Log Analytics do Azure.

  4. Copie Ubiquiti.conf para a pasta /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.

  5. Edite Ubiquiti.conf da seguinte maneira:

    i. especifique a porta que você configurou para seu dispositivo Ubiquiti encaminhar logs (linha 4)

    ii. substitua workspace_id pelo valor real da ID do Espaço de trabalho (linhas 14,15,16,19)

  6. Salve as alterações e reinicie o agente do Azure Log Analytics para o serviço Linux com o seguinte comando: sudo /opt/microsoft/omsagent/bin/service_control restart

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.