Microsoft Sentinel için Cisco Meraki bağlayıcısı

  • Makale

Cisco Meraki bağlayıcısı, Cisco Meraki (MX/MR/MS) günlüklerinizi Microsoft Sentinel'e kolayca bağlamanızı sağlar. Bu, kuruluşunuzun ağı hakkında daha fazla içgörü sağlar ve güvenlik işlemi özelliklerinizi geliştirir.

Bağlan or öznitelikleri

Bağlan or özniteliği Açıklama
Log Analytics tabloları meraki_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Microsoft Corporation

Sorgu örnekleri

Günlük Türüne Göre Toplam Olay Sayısı

CiscoMeraki 

| summarize count() by LogType

İlk 10 Engellenen Bağlan

CiscoMeraki 

| where LogType == "security_event" 

| where Action == "block" 

| summarize count() by SrcIpAddr, DstIpAddr, Action, Disposition 

| top 10 by count_

Önkoşullar

Cisco Meraki ile tümleştirmek için aşağıdakilere sahip olduğunuzdan emin olun:

  • Cisco Meraki: Syslog aracılığıyla günlükleri dışarı aktaracak şekilde yapılandırılmalıdır

Satıcı yükleme yönergeleri

NOT: Bu veri bağlayıcısı, çözümün bir parçası olarak dağıtılan kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. İşlev kodunu Log Analytics'te görüntülemek için Log Analytics/Microsoft Sentinel Günlükleri dikey penceresini açın, İşlevler'e tıklayın ve CiscoMeraki diğer adını arayın ve işlev kodunu yükleyin veya buraya tıklayın. Çözümün yüklenmesi/güncelleştirildikten sonra işlevin etkinleştirilmesi genellikle 10-15 dakika sürer.

  1. Linux için aracıyı yükleme ve ekleme

Genellikle aracıyı, günlüklerin oluşturulduğu bilgisayardan farklı bir bilgisayara yüklemeniz gerekir.

Syslog günlükleri yalnızca Linux aracılarından toplanır.

  1. Toplanacak günlükleri yapılandırma

Cisco Meraki cihaz günlüklerini Microsoft Sentinel'e almak için aşağıdaki yapılandırma adımlarını izleyin. Bu adımlarla ilgili diğer ayrıntılar için Azure İzleyici Belgeleri'ne bakın. Cisco Meraki günlükleri için, varsayılan ayarları kullanarak verileri OMS aracı verilerine göre ayrıştırırken sorunlarla karşılaşıyoruz. Bu nedenle aşağıdaki yönergeleri kullanarak günlükleri özel tablo meraki_CL yakalamayı öneririz.

  1. OMS aracısını yüklediğiniz sunucuda oturum açın.

  2. Meraki.conf wget -v https://aka.ms/sentinel-ciscomerakioms-conf -O meraki.conf yapılandırma dosyasını indirin

  3. meraki.conf dosyasını /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ klasörüne kopyalayın. cp meraki.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/

  4. meraki.conf dosyasını aşağıdaki gibi düzenleyin:

    a. meraki.conf varsayılan olarak 22033 numaralı bağlantı noktasını kullanır. Bu bağlantı noktasının sunucunuzdaki başka bir kaynak tarafından kullanılmadığından emin olun

    b. meraki.conf için varsayılan bağlantı noktasını değiştirmek istiyorsanız, varsayılan Azure izleme /log analytics aracısı bağlantı noktalarını kullanmadığınızdan emin olun(Örneğin CEF 25226 veya 25224 NUMARALı TCP bağlantı noktasını kullanır)

    c. workspace_id Çalışma Alanı Kimliğinizin gerçek değeriyle değiştirin (satır 14.15.16.19)

  5. Aşağıdaki komutla değişiklikleri kaydedin ve Linux hizmeti için Azure Log Analytics aracısını yeniden başlatın: sudo /opt/microsoft/omsagent/bin/service_control yeniden başlatma

  6. /etc/rsyslog.conf dosyasını değiştir - tercihen aşağıdaki şablonu meraki$template yönergelerin başına /öncesine ekleyin,"%timestamp% %hostname% %msg%\n"

  7. /etc/rsyslog.d/ içinde özel bir conf dosyası oluşturun, örneğin 10-meraki.conf ve aşağıdaki filtre koşullarını ekleyin.

    Eklenen bir deyimle, özel tabloya iletilecek Cisco Meraki'den gelen günlükleri belirten bir filtre oluşturmanız gerekir.

    başvuru: Filtre Koşulları — rsyslog 8.18.0.master belgeleri

    Burada tanımlanabilir bir filtreleme örneği verilmiştir, bu tamamlanmaz ve her yükleme için ek test gerektirir. $rawmsg "akışlar" içeriyorsa @@127.0.0.1:22033; meraki &stop if $rawmsg contains "urls" then @@127.0.0.1:22033; meraki &stop if $rawmsg contains "ids-alerts" then @@127.0.0.1:22033; meraki &stop if $rawmsg contains "events" then @@127.0.0.1:22033; meraki &stop if $rawmsg contains "ip_flow_start" then @@127.0.0.1:22033; meraki &stop if $rawmsg contains "ip_flow_end" then @@127.0.0.1:22033; meraki & durdur

  8. Yeniden başlatma rsyslog systemctl restart rsyslog

  9. Cisco Meraki cihazlarını yapılandırma ve bağlama

Cisco Meraki cihazlarını syslog'u iletecek şekilde yapılandırmak için bu yönergeleri izleyin. Hedef IP adresi olarak Linux aracısının yüklü olduğu Linux cihazı için IP adresini veya ana bilgisayar adını kullanın.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.