你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的 Cisco Software Defined WAN 连接器

  • 项目

Cisco Software Defined WAN (SD-WAN) 数据连接器提供将 Cisco SD-WAN Syslog 和 Netflow 数据引入 Microsoft Sentinel 的功能。

连接器属性

连接器属性 说明
Kusto 函数别名 CiscoSyslogUTD
Kusto 函数 URL https://aka.ms/sentinel-CiscoSyslogUTD-parser
Log Analytics 表 Syslog
CiscoSDWANNetflow_CL
数据收集规则支持 工作区转换 DCR
支持的服务 Cisco 系统

查询示例

Syslog 事件 - 所有 Syslog 事件。

Syslog

| sort by TimeGenerated desc

Cisco SD-WAN Netflow 事件 - 所有 Netflow 事件。

CiscoSDWANNetflow_CL

| sort by TimeGenerated desc

供应商安装说明

若要将 Cisco SD-WAN Syslog 和 Netflow 数据引入 Microsoft Sentinel,请执行以下步骤。

  1. 将 Syslog 数据引入 Microsoft Sentinel 的步骤

Azure Monitor 代理将用于将 syslog 数据收集到 Microsoft sentinel 中。 为此,首先需要为发送 syslog 数据的 VM 创建一个 Azure arc 服务器。

1.1 添加 Azure Arc Server 的步骤

  1. 在 Azure 门户中,转到“服务器 - Azure Arc”,然后点击“添加”。
  2. 选择“添加单一服务器”部分下的“生成脚本”。 用户还可以为多个服务器生成脚本。
  3. 在“先决条件”页上查看信息,然后选择“下一步“。
  4. 在“资源详细信息”页上,提供 Microsoft Sentinel、区域、操作系统和连接方法的订阅和资源组。 然后选择“下一步”。
  5. 在“标记”页上,查看建议的默认“物理位置标记”并输入值,或指定一个或多个“自定义标记”以支持你的标准 。 然后,选择“下一步 >”
  6. 选择“下载”以保存脚本文件。
  7. 生成脚本后,下一步是在要载入 Azure Arc 的服务器上运行该脚本。
  8. 如果有 Azure VM,在运行该脚本之前,请按照链接中提到的步骤操作。
  9. 使用以下命令运行该脚本:./<ScriptName>.sh
  10. 安装代理并将其配置为连接到启用了 Azure Arc 的服务器后,请转到 Azure 门户,验证是否已成功连接服务器。 在 Azure 门户中查看你的计算机。

参考链接:https://learn.microsoft.com/azure/azure-arc/servers/learn/quick-enable-hybrid-vm

1.2 创建数据收集规则 (DCR) 的步骤

  1. 在 Azure 门户中,搜索“监视”。 在“设置”下,选择“数据收集规则”,然后选择“创建”。
  2. 在“基本信息”面板上,输入“规则名称”、“订阅”、“资源组”、“区域”和“平台类型”。
  3. 选择“下一步: 资源”。
  4. 选择“添加资源”。使用筛选器查找要用于收集日志的虚拟机。
  5. 选择虚拟机。 选择“应用”。
  6. 选择“下一步: 收集和传递”。
  7. 选择“添加数据源”。 对于“数据源类型”,选择“Linux syslog”。
  8. 对于“最小日志级别”,请保留默认值“LOG_DEBUG”。
  9. 选择“下一步: 目标”。
  10. 选择“添加目标”,然后添加“目标类型”、“订阅和帐户”或“命名空间”。
  11. 选择“添加数据源”。 选择“下一步: 查看 + 创建”。
  12. 选择“创建”。 等待 20 分钟。 在 Microsoft Sentinel 或 Azure Monitor 中,验证 Azure Monitor 代理是否正在 VM 上运行。

参考链接:https://learn.microsoft.com/azure/sentinel/forward-syslog-monitor-agent

  1. 将 Netflow 数据引入 Microsoft Sentinel 的步骤

若要将 Netflow 数据引入 Microsoft sentinel,需要在 VM 上安装和配置 Filebeat 和 Logstash。 配置后,VM 将能够接收配置的端口上的 Netflow 数据,并且该数据将引入 Microsoft Sentinel 的工作区。

2.1 安装 Filebeat 和 Logstash

  1. 有关使用 apt 安装 Filebeat 和 Logstash 的信息,请参阅以下文档:
  2. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html
  3. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html
  4. 对于基于 RedHat 的 Linux (yum),安装 Filebeat 和 Logstash 的步骤如下:
  5. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum
  6. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum

2.2 配置 Filebeat 以将事件发送到 Logstash

  1. 编辑 filebeat.yml 文件:vi /etc/filebeat/filebeat.yml
  2. 注释禁止 Elasticsearch 输出部分。
  3. 取消注释 Logstash 输出部分(仅注释禁止这两行)- output.logstash 主机:[“localhost:5044”]
  4. 在“Logstash 输出”部分,如果要发送默认端口(即 5044 端口)以外的数据,请替换主机字段中的端口号。 (注意:配置 logstash 时,应将此端口添加到 conf 文件中。)
  5. 在“filebeat.inputs”部分注释禁止现有配置,并添加以下配置:- type: netflow max_message_size: 10KiB host: "0.0.0.0:2055" protocols: [ v5, v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions: - /etc/filebeat/custom.yml detect_sequence_reset: true enabled: true
  6. 在“Filebeat 输出”部分,如果要接收默认端口(即 2055 端口)以外的数据,请替换主机字段中的端口号。
  7. 在 /etc/filebeat/ 目录中添加提供的 custom.yml 文件。
  8. 在防火墙中打开 Filebeat 输入和输出端口。
  9. 运行命令:firewall-cmd --zone=public --permanent --add-port=2055/udp
  10. 运行命令:firewall-cmd --zone=public --permanent --add-port=5044/udp

注意:如果为 Filebeat 输入/输出添加了自定义端口,请在防火墙中打开该端口。

2.3 配置 Logstash 以将事件发送到 Microsoft Sentinel

  1. 安装 Azure Log Analytics 插件:
  2. 运行命令:sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
  3. 将 Log Analytics 工作区密钥存储在 Logstash 密钥存储中。 可以在 Azure 门户的 Log Analytic 工作区“>”下找到工作区密钥,选择“设置”下的工作区“>”,选择“代理”>“Log Analytics 代理”说明。
  4. 复制主键并运行以下命令:
  5. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
  6. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
  7. 创建配置文件 /etc/logstash/cisco-netflow-to-sentinel.conf: input { beats { port =><port_number> #(输入在 Filebeat 配置期间配置的输入端口号码,例如 Filebeat.yml 文件。) } } output { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } }

注意:如果 Microsoft sentinel 中没有表,它将在 Sentinel 中创建一个新表。

2.4 运行 Filebeat:

  1. 打开终端并运行以下命令:

systemctl start filebeat

  1. 此命令将在后台开始运行 Filebeat。 若要查看日志,请停止 Filebeat (systemctl stop filebeat),然后运行以下命令:

filebeat run -e

2.5 运行 Logstash:

  1. 在另一个终端中,运行以下命令:

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &

  1. 此命令将在后台开始运行 Logstash。 若要查看 Logstash 的日志,请终止上述进程并运行以下命令:

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案