Microsoft Sentinel için VMware vCenter bağlayıcısı

  • Makale

vCenter bağlayıcısı, vCenter sunucu günlüklerinizi Microsoft Sentinel ile kolayca bağlamanıza olanak tanır. Bu, kuruluşunuzun veri merkezleri hakkında daha fazla içgörü sağlar ve güvenlik işlemi özelliklerinizi geliştirir.

Bağlan or öznitelikleri

Bağlan or özniteliği Açıklama
Log Analytics tabloları vCenter_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Microsoft Corporation

Sorgu örnekleri

Olay Türüne Göre Toplam Olay Sayısı

vCenter 

| summarize count() by EventType

vCenter Server'da oturum açma/kapatma

vCenter 

| where EventType in ('UserLogoutSessionEvent','UserLoginSessionEvent') 

| summarize count() by EventType,EventID,UserName,UserAgent 

| top 10 by count_

Satıcı yükleme yönergeleri

NOT: Bu veri bağlayıcısı, çözümün bir parçası olarak dağıtılan kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. İşlev kodunu Log Analytics'te görüntülemek için Log Analytics/Microsoft Sentinel Günlükleri dikey penceresini açın, İşlevler'e tıklayın ve VMware vCenter diğer adını arayın ve işlev kodunu yükleyin veya buraya tıklayın; sorgunun ikinci satırında VMware vCenter cihazlarınızın konak adlarını ve günlük akışının diğer benzersiz tanımlayıcılarını girin. Çözümün yüklenmesi/güncelleştirildikten sonra işlevin etkinleştirilmesi genellikle 10-15 dakika sürer.

  1. vCenter çözümünü ContentHub'dan yüklemediyseniz Kusto işlev diğer adı olan vCenter'ı kullanma adımlarını izleyin
  1. Linux için aracıyı yükleme ve ekleme

Genellikle aracıyı, günlüklerin oluşturulduğu bilgisayardan farklı bir bilgisayara yüklemeniz gerekir.

Syslog günlükleri yalnızca Linux aracılarından toplanır.

  1. Toplanacak günlükleri yapılandırma

Microsoft Sentinel'de vCenter sunucu günlüklerini almak için aşağıdaki yapılandırma adımlarını izleyin. Bu adımlarla ilgili diğer ayrıntılar için Azure İzleyici Belgeleri'ne bakın. vCenter Server günlükleri için, varsayılan ayarları kullanarak verileri OMS aracı verilerine göre ayrıştırırken sorunlarla karşılaşıyoruz. Bu nedenle aşağıdaki yönergeleri kullanarak günlükleri özel tablo vCenter_CL yakalamayı öneririz.

  1. OMS aracısını yüklediğiniz sunucuda oturum açın.

  2. vCenter.conf wget -v https://aka.ms/sentinel-vcenteroms-conf -O vcenter.conf yapılandırma dosyasını indirin

  3. vcenter.conf dosyasını /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ klasörüne kopyalayın. cp vcenter.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/

  4. vcenter.conf dosyasını aşağıdaki gibi düzenleyin:

    a. vcenter.conf varsayılan olarak 22033 numaralı bağlantı noktasını kullanır. Bu bağlantı noktasının sunucunuzdaki başka bir kaynak tarafından kullanılmadığından emin olun

    b. vcenter.conf için varsayılan bağlantı noktasını değiştirmek istiyorsanız varsayılan Azure monotoring /log analytics aracısı bağlantı noktalarını kullanmadığınızdan emin olun(Örneğin CEF 25226 veya 25224 NUMARALı TCP bağlantı noktasını kullanır)

    c. workspace_id çalışma alanı kimliğinizin gerçek değeriyle değiştirin (satır 13.14.15.18)

  5. Aşağıdaki komutla değişiklikleri kaydedin ve Linux hizmeti için Azure Log Analytics aracısını yeniden başlatın: sudo /opt/microsoft/omsagent/bin/service_control yeniden başlatma

  6. /etc/rsyslog.conf dosyasını değiştir - aşağıdaki şablonu tercihen vcenter $template yönergelerin başına /öncesine ekleyin,"%timestamp% %hostname% %msg%\n"

  7. /etc/rsyslog.d/ içinde 10-vcenter.conf gibi özel bir conf dosyası oluşturun ve aşağıdaki filtre koşullarını ekleyin.

    Eklenen bir deyimle, özel tabloya iletilecek vcenter sunucusundan gelen günlükleri belirten bir filtre oluşturmanız gerekir.

    başvuru: Filtre Koşulları — rsyslog 8.18.0.master belgeleri

    Burada tanımlanabilir bir filtreleme örneği verilmiştir, bu tamamlanmaz ve her yükleme için ek test gerektirir. $rawmsg "vcenter-server" içeriyorsa @@127.0.0.1:22033; vcenter &stop if $rawmsg contains "vpxd" then @@127.0.0.1:22033; vcenter & stop

  8. Yeniden başlatma rsyslog systemctl restart rsyslog

  9. vCenter cihazlarını yapılandırma ve bağlama

vCenter'ı syslog'u iletecek şekilde yapılandırmak için bu yönergeleri izleyin. Hedef IP adresi olarak Linux aracısının yüklü olduğu Linux cihazı için IP adresini veya ana bilgisayar adını kullanın.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.