Megosztás a következőn keresztül:


[Elavult] Cisco Meraki-összekötő a Microsoft Sentinelhez

Fontos

A sok készülékről és eszközről származó naplógyűjtést mostantól támogatja a Common Event Format (CEF) az AMA-n, a Syslogon keresztül az AMA-n vagy az egyéni naplókon keresztül a Microsoft Sentinel AMA-adatösszekötőn keresztül. További információért lásd: A Microsoft Sentinel-adatösszekötő megkeresése.

A Cisco Meraki összekötővel egyszerűen csatlakoztathatja Cisco Meraki-naplóit (MX/MR/MS) a Microsoft Sentinelhez. Ez további betekintést nyújt a szervezet hálózatába, és javítja a biztonsági üzemeltetési képességeket.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Összekötő attribútumai

Összekötő attribútum Leírás
Log Analytics-tábla(ok) meraki_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Microsoft Corporation

Példák lekérdezésekre

Összes esemény naplótípus szerint

CiscoMeraki 

| summarize count() by LogType

A 10 legjobb blokkolt kapcsolat

CiscoMeraki 

| where LogType == "security_event" 

| where Action == "block" 

| summarize count() by SrcIpAddr, DstIpAddr, Action, Disposition 

| top 10 by count_

Előfeltételek

Az [Elavult] Cisco Merakival való integrációhoz győződjön meg arról, hogy rendelkezik a következőkkel:

  • Cisco Meraki: a naplók Syslogon keresztüli exportálására konfigurálva kell lennie

Szállító telepítési útmutatója

MEGJEGYZÉS: Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, amely a megoldás részeként üzembe helyezett elvárt módon működik. A Függvénykód a Log Analyticsben való megtekintéséhez nyissa meg a Log Analytics/Microsoft Sentinel Logs panelt, kattintson a Functions elemre, és keresse meg a CiscoMeraki aliast, és töltse be a függvénykódot, vagy kattintson ide. A függvény aktiválása általában 10–15 percet vesz igénybe a megoldás telepítése/frissítése után.

  1. Az ügynök telepítése és előkészítése Linuxhoz

Az ügynököt általában egy másik számítógépre kell telepítenie, mint amelyiken a naplók létrejönnek.

A syslog-naplók csak Linux-ügynököktől gyűjthetők.

  1. A gyűjtendő naplók konfigurálása

A Cisco Meraki eszköznaplóinak a Microsoft Sentinelbe való beolvasásához kövesse az alábbi konfigurációs lépéseket. További részletekért tekintse meg az Azure Monitor dokumentációját . A Cisco Meraki-naplók esetében problémákat tapasztalunk az adatok OMS-ügynökadatok alapján történő elemzésekor az alapértelmezett beállítások használatával. Ezért javasoljuk, hogy rögzítse a naplókat egyéni táblázatba meraki_CL az alábbi utasítások használatával.

  1. Jelentkezzen be arra a kiszolgálóra, ahol telepítette az OMS-ügynököt.

  2. A meraki.conf wget -v https://aka.ms/sentinel-ciscomerakioms-conf -O meraki.conf konfigurációs fájl letöltése

  3. Másolja a meraki.conf fájlt a /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ mappába. cp meraki.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/

  4. Szerkessze a meraki.conf fájlt az alábbiak szerint:

    a. A meraki.conf alapértelmezés szerint a 22033-at használja. Győződjön meg arról, hogy ezt a portot más forrás nem használja a kiszolgálón

    b. Ha módosítani szeretné a meraki.conf alapértelmezett portját, győződjön meg arról, hogy nem használja az Alapértelmezett Azure monitorozási /naplóanalitikus ügynökportokat. (Például a CEF a 25226-os vagy a 25224-ös TCP-portot használja)

    c. cserélje le workspace_id a munkaterület-azonosító valós értékére (14.15.16.19. sor)

  5. Mentse a módosításokat, és indítsa újra a Linuxhoz készült Azure Log Analytics-ügynököt a következő paranccsal: sudo /opt/microsoft/omsagent/bin/service_control restart

  6. Modify /etc/rsyslog.conf file – add below template lehetőleg az elején / előtt irányelvek szakasz $template meraki,"%timestamp% %hostname% %msg%\n"

  7. Hozzon létre egy egyéni conf fájlt a /etc/rsyslog.d/ fájlban, például a 10-meraki.conf fájlban, és adja hozzá a következő szűrőfeltételeket.

    Egy hozzáadott utasítással létre kell hoznia egy szűrőt, amely megadja a Cisco Merakitól érkező naplókat, amelyeket az egyéni táblába kell továbbítani.

    referencia: Szűrőfeltételek – rsyslog 8.18.0.master dokumentáció

    Íme egy példa a definiálható szűrésre, amely nem fejeződött be, és minden telepítéshez további tesztelésre lesz szükség. ha $rawmsg "folyamatokat" tartalmaz, akkor @@127.0.0.1:22033; meraki &stop, ha $rawmsg tartalmaz "tűzfal" akkor @@127.0.0.1:22033; meraki > állítsa le, ha $rawmsg tartalmaz "URL-címeket", akkor @@127.0.0.1:22033; meraki > állítsa le, ha $rawmsg az "ids-alerts" szöveget tartalmazza, akkor @@127.0.0.1:22033; meraki > állítsa le, ha $rawmsg tartalmaz "eseményeket", akkor @@127.0.0.1:22033; meraki > állítsa le, ha $rawmsg "ip_flow_start" szöveget tartalmaz, akkor @@127.0.0.1:22033; meraki > állítsa le, ha $rawmsg a következőt tartalmazza: "ip_flow_end", akkor @@127.0.0.1:22033; meraki > stop

  8. Rsyslog systemctl restart rsyslog újraindítása

  9. A Cisco Meraki-eszköz(ek) konfigurálása és csatlakoztatása

Kövesse ezeket az utasításokat a Cisco Meraki eszköz(ek) konfigurálásához a syslog továbbításához. Használja a Linux-eszköz IP-címét vagy gazdagépnevét a Cél IP-címként telepített Linux-ügynökkel.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.