Connector „Ubiquiti UniFi“ (mithilfe von Azure Functions) für Microsoft Sentinel
Mit dem Datenconnector Ubiquiti UniFi können Firewall-, DNS-, SSH- und AP-Ereignisse von Ubiquiti UniFi in Microsoft Sentinel erfasst werden.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | Ubiquiti_CL |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | Microsoft Corporation |
Abfragebeispiele
Wichtigste 10 Clients (Quell-IP-Adresse)
UbiquitiAuditEvent
| summarize count() by SrcIpAddr
| top 10 by count_
Installationsanweisungen des Anbieters
Hinweis
Dieser Datenconnector benötigt einen Parser auf der Basis einer Kusto-Funktion, um erwartungsgemäß zu funktionieren: UbiquitiAuditEvent. (Wird zusammen mit der Microsoft Sentinel-Lösung bereitgestellt.)
Hinweis
Dieser Datenconnector wurde mit der Releaseversion 5.6.2 (Syslog) von Enterprise System Controller entwickelt.
- Installieren und Integrieren des Agents für Linux oder Windows
Installieren Sie den Agent auf dem Server, an den die Ubiquiti-Protokolle vom Ubiquiti-Gerät (z. B. von einem Syslog-Remoteserver) weitergeleitet werden.
Protokolle von Ubiquiti Server auf Linux- oder Windows-Servern werden von Linux- oder Windows-Agents gesammelt.
- Konfigurieren der zu erfassenden Protokolle
Führen Sie die folgenden Konfigurationsschritte aus, um Ubiquiti-Protokolle in Microsoft Sentinel zu übertragen. Weitere Informationen zu diesen Schritten finden Sie in der Azure Monitor-Dokumentation.
Konfigurieren Sie die Protokollweiterleitung auf Ihrem Ubiquiti-Controller:
i. Navigieren Sie zu „Settings“ > „System Setting“ > „Controller Configuration“ > „Remote Logging“, und aktivieren Sie Syslog und (optional) Debuggingprotokolle. (Eine ausführliche Anleitung finden Sie im Benutzerhandbuch.)
Laden Sie die Konfigurationsdatei Ubiquiti.conf herunter.
Melden Sie sich bei dem Server an, auf dem Sie den Azure Log Analytics-Agent installiert haben.
Kopieren Sie die Datei „Ubiquiti.conf“ in den Ordner „/etc/opt/microsoft/omsagent/Arbeitsbereichs-ID/conf/omsagent.d/“.
Bearbeiten Sie die Datei „Ubiquiti.conf“ wie folgt:
i. Geben Sie den Port an, den Sie für die Protokollweiterleitung Ihres Ubiquiti-Geräts festgelegt haben (Zeile 4).
ii. Ersetzen Sie Arbeitsbereichs-ID durch den tatsächlichen Wert Ihrer Arbeitsbereichs-ID (Zeilen 14, 15, 16 und 19).
Speichern Sie die Änderungen, und starten Sie den Azure Log Analytics-Agent für Linux mit dem folgenden Befehl neu: sudo /opt/microsoft/omsagent/bin/service_control restart.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.