Cisco Meraki-anslutningsprogram för Microsoft Sentinel

  • Artikel

Med Cisco Meraki-anslutningsappen kan du enkelt ansluta dina Cisco Meraki-loggar (MX/MR/MS) med Microsoft Sentinel. Detta ger dig mer insikt i organisationens nätverk och förbättrar dina säkerhetsåtgärdsfunktioner.

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslut ellerattribut

Anslut ellerattribut beskrivning
Log Analytics-tabeller meraki_CL
Stöd för regler för datainsamling Stöds för närvarande inte
Stöds av Microsoft Corporation

Exempel på frågor

Totalt antal händelser efter loggtyp

CiscoMeraki 

| summarize count() by LogType

Topp 10 Blockerade Anslut ioner

CiscoMeraki 

| where LogType == "security_event" 

| where Action == "block" 

| summarize count() by SrcIpAddr, DstIpAddr, Action, Disposition 

| top 10 by count_

Förutsättningar

Om du vill integrera med Cisco Meraki kontrollerar du att du har:

  • Cisco Meraki: måste konfigureras för att exportera loggar via Syslog

Installationsanvisningar för leverantör

Obs! Den här dataanslutningen är beroende av en parser baserat på en Kusto-funktion för att fungera som förväntat som distribueras som en del av lösningen. Om du vill visa funktionskoden i Log Analytics öppnar du bladet Log Analytics/Microsoft Sentinel-loggar, klickar på Funktioner och söker efter aliaset CiscoMeraki och läser in funktionskoden eller klickar här. Funktionen tar vanligtvis 10–15 minuter att aktivera efter installationen/uppdateringen av lösningen.

  1. Installera och registrera agenten för Linux

Normalt bör du installera agenten på en annan dator än den där loggarna genereras.

Syslog-loggar samlas endast in från Linux-agenter .

  1. Konfigurera loggarna som ska samlas in

Följ konfigurationsstegen nedan för att hämta Cisco Meraki-enhetsloggar till Microsoft Sentinel. Mer information om de här stegen finns i Dokumentation om Azure Monitor . För Cisco Meraki-loggar har vi problem med att parsa data med OMS-agentdata med hjälp av standardinställningar. Därför rekommenderar vi att du samlar in loggarna i en anpassad tabell meraki_CL med hjälp av instruktionerna nedan.

  1. Logga in på servern där du har installerat OMS-agenten.

  2. Ladda ned konfigurationsfilen meraki.conf wget -v https://aka.ms/sentinel-ciscomerakioms-conf -O meraki.conf

  3. Kopiera meraki.conf till mappen /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/. cp meraki.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/

  4. Redigera meraki.conf på följande sätt:

    a. meraki.conf använder port 22033 som standard. Kontrollera att den här porten inte används av någon annan källa på servern

    b. Om du vill ändra standardporten för meraki.conf kontrollerar du att du inte använder standardportarna azure monitoring/log analytic agent I.e.(Till exempel använder CEF TCP-port 25226 eller 25224)

    c. ersätt workspace_id med det verkliga värdet för ditt arbetsyte-ID (raderna 14,15,16,19)

  5. Spara ändringar och starta om Azure Log Analytics-agenten för Linux-tjänsten med följande kommando: sudo /opt/microsoft/omsagent/bin/service_control starta om

  6. Ändra /etc/rsyslog.conf-fil – lägg till mallen nedan helst i början/före direktivavsnittet $template meraki,"%timestamp% %hostname% %msg%\n"

  7. Skapa en anpassad konfigurationsfil i /etc/rsyslog.d/ till exempel 10-meraki.conf och lägg till följande filtervillkor.

    Med en extra instruktion måste du skapa ett filter som anger vilka loggar som kommer från Cisco Meraki för att vidarebefordras till den anpassade tabellen.

    referens: Filtervillkor – dokumentation om rsyslog 8.18.0.master

    Här är ett exempel på filtrering som kan definieras, detta är inte slutfört och kräver ytterligare testning för varje installation. om $rawmsg innehåller "flöden" så @@127.0.0.1:22033; meraki & stop if $rawmsg contains "urls" then @@127.0.0.1:22033; meraki & stop if $rawmsg contains "ids-alerts" then @@127.0.0.1:22033; meraki & stop if $rawmsg contains "events" then @@127.0.0.1:22033; meraki & stop if $rawmsg contains "ip_flow_start" then @@127.0.0.1:22033; meraki & stop if $rawmsg contains "ip_flow_end" then @@127.0.0.1:22033; meraki & stop

  8. Starta om rsyslog systemctl restart rsyslog

  9. Konfigurera och ansluta Cisco Meraki-enheter

Följ de här anvisningarna för att konfigurera Cisco Meraki-enheter för att vidarebefordra syslog. Använd IP-adressen eller värdnamnet för Linux-enheten med Linux-agenten installerad som mål-IP-adress.

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.