[Zastaralé] Konektor Cisco Meraki pro Microsoft Sentinel
Důležité
Shromažďování protokolů z mnoha zařízení a zařízení teď podporuje common event Format (CEF) prostřednictvím AMA, Syslogu přes AMA nebo vlastní protokoly prostřednictvím datového konektoru AMA v Microsoft Sentinelu. Další informace najdete v tématu Vyhledání datového konektoru služby Microsoft Sentinel.
Konektor Cisco Meraki umožňuje snadno připojit protokoly Cisco Meraki (MX/MR/MS) se službou Microsoft Sentinel. Tím získáte lepší přehled o síti vaší organizace a zlepšíte možnosti operací zabezpečení.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
Atributy konektoru
Atribut konektoru | Popis |
---|---|
Tabulky Log Analytics | meraki_CL |
Podpora pravidel shromažďování dat | V současnosti není podporováno |
Podporováno | Microsoft Corporation |
Ukázky dotazů
Celkový počet událostí podle typu protokolu
CiscoMeraki
| summarize count() by LogType
Prvních 10 blokovaných připojení
CiscoMeraki
| where LogType == "security_event"
| where Action == "block"
| summarize count() by SrcIpAddr, DstIpAddr, Action, Disposition
| top 10 by count_
Požadavky
Pokud chcete provést integraci s [zastaralým] Cisco Meraki, ujistěte se, že máte:
- Cisco Meraki: Musí být nakonfigurované pro export protokolů přes Syslog.
Pokyny k instalaci dodavatele
POZNÁMKA: Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání, která se nasadí jako součást řešení. Pokud chcete zobrazit kód funkce v Log Analytics, otevřete okno Protokoly Log Analytics nebo Microsoft Sentinelu, klikněte na Funkce a vyhledejte alias CiscoMeraki a načtěte kód funkce nebo klikněte sem. Aktivace funkce obvykle trvá 10 až 15 minut po instalaci nebo aktualizaci řešení.
- Instalace a onboarding agenta pro Linux
Obvykle byste měli agenta nainstalovat do jiného počítače, než na kterém se protokoly generují.
Protokoly syslogu se shromažďují jenom z agentů Linuxu .
- Konfigurace protokolů, které se mají shromažďovat
Pokud chcete získat protokoly zařízení Cisco Meraki do Služby Microsoft Sentinel, postupujte podle následujících kroků konfigurace. Další podrobnosti o těchto krocích najdete v dokumentaci ke službě Azure Monitor. V protokolech Cisco Meraki máme problémy při analýze dat agentem OMS pomocí výchozího nastavení. Proto doporučujeme zaznamenat protokoly do vlastní tabulky meraki_CL pomocí následujících pokynů.
Přihlaste se k serveru, na kterém jste nainstalovali agenta OMS.
Stažení konfiguračního souboru meraki.conf wget -v https://aka.ms/sentinel-ciscomerakioms-conf -O meraki.conf
Zkopírujte meraki.conf do složky /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/. cp meraki.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/
Upravte meraki.conf následujícím způsobem:
a. meraki.conf ve výchozím nastavení používá port 22033 . Ujistěte se, že tento port nepoužívá žádný jiný zdroj na vašem serveru.
b. Pokud chcete změnit výchozí port pro meraki.conf , ujistěte se, že nepoužíváte výchozí porty agenta monitorování Azure /log analytics, například CEF používá port TCP 25226 nebo 25224.
c. nahraďte workspace_id skutečnou hodnotou ID pracovního prostoru (řádky 14 15 16 19).
Uložte změny a restartujte agenta Azure Log Analytics pro službu Linux pomocí následujícího příkazu: sudo /opt/microsoft/omsagent/bin/service_control restart
Upravte soubor /etc/rsyslog.conf – pokud možno na začátek nebo před oddíl direktivy přidejte následující šablonu $template meraki,"%timestamp% %hostname% %msg%\n"
Vytvořte vlastní soubor conf v souboru /etc/rsyslog.d/, například 10-meraki.conf a přidejte následující podmínky filtru.
S přidaným příkazem budete muset vytvořit filtr, který určí protokoly pocházející z Cisco Meraki, které se mají předat do vlastní tabulky.
reference: Podmínky filtru – rsyslog 8.18.0.master dokumentace
Tady je příklad filtrování, které je možné definovat, to není dokončeno a bude vyžadovat další testování pro každou instalaci. pokud $rawmsg obsahuje "toky", @@127.0.0.1:22033; meraki & stop pokud $rawmsg obsahuje "firewall" pak @@127.0.0.1:22033; meraki & stop pokud $rawmsg obsahuje "url" pak @@127.0.0.1:22033; meraki & stop pokud $rawmsg obsahuje "ids-alerts" pak @@127.0.0.1:22033; meraki & stop pokud $rawmsg obsahuje "události" pak @@127.0.0.1:22033; meraki & stop pokud $rawmsg obsahuje "ip_flow_start" pak @@127.0.0.1:22033; meraki & stop pokud $rawmsg obsahuje "ip_flow_end" pak @@127.0.0.1:22033; meraki & stop
Restartování rsyslog systemctl restart rsyslog
Konfigurace a připojení zařízení Cisco Meraki
Podle těchto pokynů nakonfigurujte zařízení Cisco Meraki pro předávání syslogu. Použijte IP adresu nebo název hostitele pro zařízení s Linuxem s agentem Linuxu nainstalovaným jako cílovou IP adresu.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.