你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的 Cisco Meraki 连接器

  • 项目

通过 Cisco Meraki 连接器,可以轻松地将 Cisco Meraki (MX/MR/MS) 日志与 Microsoft Sentinel 连接。 这样,用户就可以更深入地了解组织的网络并改善安全操作功能。

连接器属性

连接器属性 说明
Log Analytics 表 meraki_CL
数据收集规则支持 目前不支持
支持的服务 Microsoft Corporation

查询示例

按日志类型列出的事件总数

CiscoMeraki 

| summarize count() by LogType

前 10 个阻止的连接

CiscoMeraki 

| where LogType == "security_event" 

| where Action == "block" 

| summarize count() by SrcIpAddr, DstIpAddr, Action, Disposition 

| top 10 by count_

先决条件

若要与 Cisco Meraki 集成,请确保:

  • Cisco Meraki:必须配置为通过 Syslog 导出日志

供应商安装说明

注意:此数据连接器依赖于基于 Kusto 函数的分析程序才能按预期工作,该函数已部署为解决方案的一部分。 要查看 Log Analytics 中的函数代码,请打开 Log Analytics/Microsoft Sentinel 的“日志”边栏选项卡,单击“函数”,搜索别名 CiscoMeraki 并加载函数代码,或者单击此处。 安装/更新解决方案后,函数通常需要 10-15 分钟才能激活。

  1. 安装并载入适用于 Linux 的代理

通常,应将代理安装在与生成日志的计算机不同的计算机上。

仅从 Linux 代理收集 Syslog 日志。

  1. 配置要收集的日志

按照以下配置步骤将 Cisco Meraki 设备日志导入 Microsoft Sentinel。 有关这些步骤的更多详细信息,请参阅 Azure Monitor 文档。 对于 Cisco Meraki 日志,在使用默认设置按 OMS 代理数据分析数据时会出现问题。 因此,我们建议按照以下说明将日志捕获到自定义表 meraki_CL 中。

  1. 登录到安装了 OMS 代理的服务器。

  2. 下载配置文件 meraki.conf wget -v https://aka.ms/sentinel-ciscomerakioms-conf -O meraki.conf

  3. 将 meraki.conf 复制到 /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ 文件夹。 cp meraki.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/

  4. 按如下方式编辑 meraki.conf:

    a. 默认情况下,meraki.conf 使用端口 22033。 确保服务器上的任何其他源都未使用此端口

    b. 如果要更改 meraki.conf 的默认端口,请确保不使用默认 Azure 监视日志分析代理端口(例如,CEF 使用 TCP 端口 25226 或 25224)

    c. 将 workspace_id 替换为工作区 ID 的实际值(行 14、15、16、19)

  5. 保存更改并使用以下命令重启适用于 Linux 的 Azure Log Analytics 代理服务:sudo /opt/microsoft/omsagent/bin/service_control restart

  6. 修改 /etc/rsyslog.conf 文件 - 最好在开头 /before 指令部分添加以下模板:$template meraki,"%timestamp% %hostname% %msg%\n"

  7. 在 /etc/rsyslog.d/ 中创建自定义配置文件(例如 10-meraki.conf)并添加以下筛选条件。

    使用添加的语句时,需要创建一个筛选器,以指定要转发到自定义表的来自 Cisco Meraki 的日志。

    参考:筛选条件 — rsyslog 8.18.0.master 文档

    下面是一个可以定义的筛选的示例,并不完整,需要对每个安装进行额外测试。 如果$rawmsg包含“流”,则 @@127.0.0.1:22033;meraki& stop if $rawmsg contains“ then @@127.0.0.1:22033;meraki & stop if $rawmsg contains-alerts“ then @@127.0.0.1:22033;meraki & stop if $rawmsg contains “events” then @@127.0.0.1:22033;meraki& stop if $rawmsg contains “ip_flow_start” then @@127.0.0.1:22033;meraki & stop if $rawmsg contains “ip_flow_end” then @@127.0.0.1:22033;梅拉基和停止

  8. 重启 rsyslog systemctl restart rsyslog

  9. 配置并连接 Cisco Meraki 设备

按照这些说明操作,将 Cisco Meraki 设备配置为转发 syslog。 使用 Linux 设备的 IP 地址或主机名,并将 Linux 代理安装为目标 IP 地址。

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案