Conector VMware vCenter para Microsoft Sentinel

  • Artigo

O conector do vCenter permite que você conecte facilmente seus logs de servidor do vCenter com o Microsoft Sentinel. Isso proporciona mais insights sobre os data center da sua organização e aprimora suas funcionalidades de operação de segurança.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics vCenter_CL
Suporte às regras de coleta de dados Sem suporte no momento
Com suporte por Microsoft Corporation

Exemplos de consulta

Total de eventos por Tipo de Evento

vCenter 

| summarize count() by EventType

fazer logon/logout no vCenter Server

vCenter 

| where EventType in ('UserLogoutSessionEvent','UserLoginSessionEvent') 

| summarize count() by EventType,EventID,UserName,UserAgent 

| top 10 by count_

Instruções de instalação do fornecedor

OBSERVAÇÃO: esse conector de dados depende de um analisador baseado em uma Função Kusto para funcionar conforme o esperado, o que é implantado como parte da solução. Para exibir o código de função no Log Analytics, abra a folha Log Analytics/Logs do Microsoft Sentinel, clique em Funções e pesquise o alias VMware vCenter e carregue o código da função ou clique aqui. Na segunda linha da consulta, insira os nomes de host dos dispositivos VMware vCenter e quaisquer outros identificadores exclusivos para o fluxo de logs. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação ou atualização da solução.

  1. Se você não instalou a solução vCenter do ContentHub, siga as etapas para usar o alias da função Kusto, vCenter
  1. Instalar e integrar o agente para Linux

De modo geral, você deve instalar o agente em um computador diferente daquele a partir do qual os logs são gerados.

Os logs do Syslog são coletados apenas junto a agentes do Linux.

  1. Configurar os logs a serem coletados

Siga as etapas de configuração abaixo para obter os registros do servidor vCenter dentro do Microsoft Sentinel. Confira a Documentação do Azure Monitor para encontrar mais detalhes sobre essas etapas. Para os registros do vCenter Server, temos problemas ao analisar os dados pelos dados do agente OMS usando as configurações padrão. Portanto, recomendamos capturar os registros na tabela personalizada vCenter_CL usando as instruções abaixo.

  1. Faça logon no servidor em que você instalou o agente do OMS.

  2. Baixar arquivo de configuração vCenter.conf wget -v https://aka.ms/sentinel-vcenteroms-conf -O vcenter.conf

  3. Copie vcenter.conf para /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ folder. cp vcenter.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/

  4. Edite vcenter.conf da seguinte forma:

    a. vcenter.conf usa a porta 22033 como padrão. Verifique se essa porta não está sendo usada por nenhuma outra fonte em seu servidor

    b. Se você quiser alterar a porta padrão para vcenter.conf, certifique-se de não usar portas padrão do agente analítico/monotoring do Azure, ou seja, (Por exemplo, o CEF usa a porta TCP 25226 ou 25224)

    c. substitua workspace_id pelo valor real da sua ID do Workspace (linhas 13,14,15,18)

  5. Salve as alterações e reinicie o agente do Azure Log Analytics para o serviço Linux com o seguinte comando: sudo /opt/microsoft/omsagent/bin/service_control restart

  6. Modifique o arquivo /etc/rsyslog.conf – adicione o modelo abaixo, preferencialmente na seção diretivas início/antes $template vcenter,"%timestamp% %hostname% %msg%\n"

  7. Crie um arquivo de configuração personalizado em /etc/rsyslog.d/ por exemplo, 10-vcenter.conf e adicione as seguintes condições de filtro.

    Com uma instrução adicionada, você precisa criar um filtro que vai especificar os logs vindos do servidor vcenter a serem encaminhados para a tabela personalizada.

    referência: Condições de filtro — documentação rsyslog 8.18.0.master

    Aqui está um exemplo de filtragem que pode ser definida, entretanto, não está concluído e exigirá testes adicionais para cada instalação. se $rawmsg contiver "vcenter-server", então @@127.0.0.1:22033; vcenter & stop se $rawmsg contiver "vpxd" então @@127.0.0.1:22033; vcenter & parar

  8. Reiniciar rsyslog systemctl restart rsyslog

  9. Configure e conecte o(s) dispositivo(s) vCenter

Siga estas instruções para configurar o vCenter para encaminhar o syslog. Use o endereço IP ou o nome do host para o dispositivo Linux com o agente Linux instalado como o Endereço IP de Destino.

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.