Conector Ubiquiti UniFi (versão prévia) para o Microsoft Sentinel
O conector de dados UniFi Ubiquiti oferece a capacidade de ingerir eventos de API, firewall, DNS, SSH do Ubiquiti UniFi no Microsoft Sentinel.
Atributos do conector
Atributo do conector | Description |
---|---|
Tabela(s) do Log Analytics | Ubiquiti_CL |
Suporte às regras de coleta de dados | Sem suporte no momento |
Com suporte por | Microsoft Corporation |
Exemplos de consulta
10 Principais Clientes (IP de Origem)
UbiquitiAuditEvent
| summarize count() by SrcIpAddr
| top 10 by count_
Instruções de instalação do fornecedor
Observação
Esse conector de dados depende de um analisador baseado em uma Função do Kusto para funcionar como esperado, o UbiquitiAuditEvent, que é implantado com a Solução Microsoft Sentinel.
Observação
Esse conector de dados foi desenvolvido usando a versão de lançamento do Enterprise System Controller: 5.6.2 (Syslog)
- Instalar e integrar o agente para Linux ou Windows
Instale o agente no servidor para o qual os logs Ubiquiti são encaminhados a partir do dispositivo Ubiquiti (por exemplo, servidor Syslog remoto)
Os logs do Servidor Ubiquiti implantados em servidores Linux ou Windows são coletados por agentes do Linux ou do Windows.
- Configurar os logs a serem coletados
Siga as etapas de configuração abaixo para enviar os logs do Ubiquiti ao Microsoft Sentinel. Confira a Documentação do Azure Monitor para encontrar mais detalhes sobre essas etapas.
Configure o encaminhamento de log no controlador Ubiquiti:
i. Acesse Configurações > Configuração do sistema > Configuração do controlador > Registro em log remoto e habilite os logs de Syslog e depuração (opcional) (consulte o Guia do Usuário para obter instruções detalhadas).
Baixe o arquivo de configuração Ubiquiti.conf.
Entre no servidor em que você instalou o agente do Log Analytics do Azure.
Copie Ubiquiti.conf para a pasta /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.
Edite Ubiquiti.conf da seguinte maneira:
i. especifique a porta que você configurou para seu dispositivo Ubiquiti encaminhar logs (linha 4)
ii. substitua workspace_id pelo valor real da ID do Espaço de trabalho (linhas 14,15,16,19)
Salve as alterações e reinicie o agente do Azure Log Analytics para o serviço Linux com o seguinte comando: sudo /opt/microsoft/omsagent/bin/service_control restart
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.