Microsoft Sentinel için Cisco Yazılım Tanımlı WAN bağlayıcısı

  • Makale

Cisco Yazılım Tanımlı WAN (SD-WAN) veri bağlayıcısı , Cisco SD-WAN Syslog ve Netflow verilerini Microsoft Sentinel'e alma özelliği sağlar.

Bağlayıcı öznitelikleri

Bağlayıcı özniteliği Description
Kusto işlevi diğer adı CiscoSyslogUTD
Kusto işlev url'si https://aka.ms/sentinel-CiscoSyslogUTD-parser
Log Analytics tabloları Syslog
CiscoSDWANNetflow_CL
Veri toplama kuralları desteği Çalışma alanı dönüştürme DCR
Destekleyen Cisco Systems

Sorgu örnekleri

Syslog Olayları - Tüm Syslog Olayları.

Syslog

| sort by TimeGenerated desc

Cisco SD-WAN Netflow Olayları - Tüm Netflow Olayları.

CiscoSDWANNetflow_CL

| sort by TimeGenerated desc

Satıcı yükleme yönergeleri

Cisco SD-WAN Syslog ve Netflow verilerini Microsoft Sentinel'e almak için aşağıdaki adımları izleyin.

  1. Syslog verilerini Microsoft sentinel'e alma adımları

Syslog verilerini Microsoft sentinel'e toplamak için Azure İzleyici Aracısı kullanılacaktır. Bunun için ilk olarak syslog verilerinin gönderileceği VM için bir azure arc sunucusu oluşturmanız gerekir.

1.1 Azure Arc Sunucusu Ekleme Adımları

  1. Azure portal'da Sunucular - Azure Arc'a gidin ve Ekle'ye tıklayın.
  2. Tek sunucu ekle bölümünde Betik Oluştur'a tıklayın. Bir Kullanıcı, Birden Çok Sunucu için de betik oluşturabilir.
  3. Önkoşullar sayfasındaki bilgileri gözden geçirin ve İleri'yi seçin.
  4. Kaynak ayrıntıları sayfasında Microsoft Sentinel, Bölge, İşletim sistemi ve Bağlantı yönteminin aboneliğini ve kaynak grubunu sağlayın. Ardından İleri’yi seçin.
  5. Etiketler sayfasında önerilen varsayılan Fiziksel konum etiketlerini gözden geçirin ve bir değer girin veya standartlarınızı desteklemek için bir veya daha fazla Özel etiket belirtin. Ardından İleri'yi seçin
  6. Betik dosyasını kaydetmek için İndir'i seçin.
  7. Betiği oluşturduğunuza göre, sonraki adım bunu Azure Arc'a eklemek istediğiniz sunucuda çalıştırmaktır.
  8. Azure VM'niz varsa betiği çalıştırmadan önce bağlantıda belirtilen adımları izleyin.
  9. Betiği aşağıdaki komutla çalıştırın: ./<ScriptName>.sh
  10. Aracıyı yükledikten ve Azure Arc özellikli sunuculara bağlanacak şekilde yapılandırdıktan sonra, sunucunun başarıyla bağlandığını doğrulamak için Azure portal gidin. Makinenizi Azure portal görüntüleyin.

Başvuru bağlantısı:https://learn.microsoft.com/azure/azure-arc/servers/learn/quick-enable-hybrid-vm

1.2 Veri Toplama Kuralı Oluşturma Adımları (DCR)

  1. Azure Portal'da İzleyici araması yapın. Ayarlar'ın altında Veri Toplama Kuralları'nı ve Oluştur'u seçin.
  2. Temel bilgiler panelinde Kural Adı, Abonelik, Kaynak grubu, Bölge ve Platform Türü girin.
  3. İleri: Kaynaklar'ı seçin.
  4. Kaynak ekle'yi seçin. Günlükleri toplamak için kullanacağınız sanal makineyi bulmak için filtreleri kullanın.
  5. Sanal makineyi seçin. Uygula’yı seçin.
  6. İleri: Topla ve teslim et'i seçin.
  7. Veri kaynağı ekle'yi seçin. Veri kaynağı türü için Linux syslog'u seçin.
  8. En düşük günlük düzeyi için varsayılan değerleri LOG_DEBUG bırakın.
  9. İleri: Hedef'i seçin.
  10. Hedef ekle'yi seçin ve Hedef türü, Abonelik ve Hesap veya ad alanı ekleyin.
  11. Veri kaynağı ekle'yi seçin. İleri: Gözden geçir ve oluştur'u seçin.
  12. Oluştur’u seçin. 20 dakika bekleyin. Microsoft Sentinel veya Azure İzleyici'de Azure İzleyici aracısının VM'nizde çalıştığını doğrulayın.

Başvuru bağlantısı:https://learn.microsoft.com/azure/sentinel/forward-syslog-monitor-agent

  1. Netflow verilerini Microsoft sentinel'e alma adımları

Netflow verilerini Microsoft sentinel'e almak için Filebeat ve Logstash'in VM'ye yüklenmesi ve yapılandırılması gerekir. Yapılandırmadan sonra, vm yapılandırılan bağlantı noktasında netflow verilerini alabilir ve bu veriler Microsoft sentinel çalışma alanına alınacaktır.

2.1 Filebeat ve logstash yükleme

  1. apt kullanarak filebeat ve logstash yüklemesi için şu belgeyi bakın:
  2. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html.
  3. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html.
  4. RedHat tabanlı Linux (yum) için filebeat ve logstash yükleme adımları şunlardır:
  5. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum.
  6. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum

2.2 Logstash'a olay göndermek için Filebeat'i yapılandırma

  1. filebeat.yml dosyasını düzenle: vi /etc/filebeat/filebeat.yml
  2. Elasticsearch Çıktısı bölümüne açıklama ekleyin.
  3. AçıklamaYı Kaldır Logstash Çıktısı bölümü (Yalnızca bu iki satırın açıklamasını kaldır)- output.logstash konakları: ["localhost:5044"]
  4. Logstash Çıktısı bölümünde, varsayılan bağlantı noktası (5044 bağlantı noktası) dışındaki verileri göndermek istiyorsanız konaklar alanındaki bağlantı noktası numarasını değiştirin. (Not: Bu bağlantı noktası logstash yapılandırırken conf dosyasına eklenmelidir.)
  5. 'filebeat.inputs' bölümünde mevcut yapılandırmayı açıklama satırı yapın ve şu yapılandırmayı ekleyin: - tür: netflow max_message_size: 10 Kb konak: "0.0.0.0:2055" protokolleri: [ v5, v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions: - /etc/filebeat/custom.yml detect_sequence_reset: true enabled: true
  6. Filebeat girişleri bölümünde, varsayılan bağlantı noktası (2055 bağlantı noktası) dışındaki verileri almak istiyorsanız, konak alanındaki bağlantı noktası numarasını değiştirin.
  7. Sağlanan custom.yml dosyasını /etc/filebeat/ dizinine ekleyin.
  8. Güvenlik duvarında filebeat giriş ve çıkış bağlantı noktasını açın.
  9. Çalıştır komutu: firewall-cmd --zone=public --permanent --add-port=2055/udp
  10. Çalıştır komutu: firewall-cmd --zone=public --permanent --add-port=5044/udp

Not: Filebeat girişi/çıkışı için özel bir bağlantı noktası eklenirse bu bağlantı noktasını güvenlik duvarında açın.

2.3 Logstash'i Olayları Microsoft Sentinel'e gönderecek şekilde yapılandırma

  1. Azure Log Analytics eklentisini yükleyin:
  2. Komutu Çalıştır: sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
  3. Log Analytics çalışma alanı anahtarını Logstash anahtar deposunda depolayın. Çalışma alanı anahtarı, Azure Portal'da Log Analytics çalışma alanı > seç > altında Ayarlar'ın altında Aracı > Log Analytics aracısı yönergeleri'ni seçin.
  4. Birincil anahtarı kopyalayın ve aşağıdaki komutları çalıştırın:
  5. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
  6. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
  7. /etc/logstash/cisco-netflow-to-sentinel.conf: input { beats { port =><port_number> #(Filebeat yapılandırması sırasında yapılandırılan çıkış bağlantı noktası numarasını girin. filebeat.yml file .) } } output { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } }

Not: Tablo Microsoft sentinel'de yoksa sentinel'de yeni bir tablo oluşturur.

2.4 Run Filebeat:

  1. Bir terminal açın ve komutunu çalıştırın:

systemctl start filebeat

  1. Bu komut arka planda filebeat çalıştırmaya başlar. Günlüklerin filebeat'i (systemctl stop filebeat) durdurup aşağıdaki komutu çalıştıracağını görmek için:

filebeat run -e

2.5 Logstash'ı çalıştırın:

  1. Başka bir terminalde komutunu çalıştırın:

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &

  1. Bu komut logstash'i arka planda çalıştırmaya başlar. logstash günlüklerini görmek için yukarıdaki işlemi sonlandırın ve aşağıdaki komutu çalıştırın:

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.