VMware vCenter-összekötő a Microsoft Sentinelhez
A vCenter-összekötővel egyszerűen csatlakoztathatja a vCenter-kiszolgálónaplókat a Microsoft Sentinelhez. Ez további betekintést nyújt a szervezet adatközpontjaiba, és javítja a biztonsági műveleti képességeket.
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Csatlakozás or attribútumok
| Csatlakozás or attribútum | Leírás |
|---|---|
| Log Analytics-tábla(ok) | vcenter_CL |
| Adatgyűjtési szabályok támogatása | Jelenleg nem támogatott |
| Támogatja: | Microsoft Corporation |
Példák lekérdezésekre
Összes esemény eseménytípus szerint
vCenter
| summarize count() by EventType
bejelentkezés/kijelentkezés a vCenter Serverre
vCenter
| where EventType in ('UserLogoutSessionEvent','UserLoginSessionEvent')
| summarize count() by EventType,EventID,UserName,UserAgent
| top 10 by count_
Előfeltételek
A VMware vCenterrel való integrációhoz győződjön meg arról, hogy a következőkkel rendelkezik:
- Egyéni előfeltételek belefoglalása, ha a kapcsolat megköveteli – másként törölje a vámokat: Az egyéni előfeltételek leírása
Szállító telepítési útmutatója
MEGJEGYZÉS: Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, amely a megoldás részeként üzembe helyezett elvárt módon működik. A Log Analytics függvénykódjának megtekintéséhez nyissa meg a Log Analytics/Microsoft Sentinel Naplók panelt, kattintson a Functions elemre, és keresse meg a VMware vCenter aliast, és töltse be a függvénykódot, vagy kattintson ide, a lekérdezés második sorában adja meg a VMware vCenter-eszköz(ek) állomásnevét és a naplóstream egyéb egyedi azonosítóit. A függvény aktiválása általában 10–15 percet vesz igénybe a megoldás telepítése/frissítése után.
Ha még nem telepítette a vCenter-megoldást a ContentHubról, akkor a Kusto függvény aliasának, a vCenternek a használatához kövesse a lépéseket.
Az ügynök telepítése és előkészítése Linuxhoz
Az ügynököt általában egy másik számítógépre kell telepítenie, mint amelyiken a naplók létrejönnek.
A syslog-naplók csak Linux-ügynököktől gyűjthetők.
A gyűjtendő naplók konfigurálása
Kövesse az alábbi konfigurációs lépéseket a vCenter-kiszolgálói naplók Microsoft Sentinelbe való lekéréséhez. További részletekért tekintse meg az Azure Monitor dokumentációját . A vCenter Server-naplók esetében problémákat tapasztalunk az adatok OMS-ügynökadatok alapján történő elemzésekor az alapértelmezett beállítások használatával. Ezért javasoljuk, hogy rögzítse a naplókat egyéni táblázatba vcenter_CL az alábbi utasítások használatával.
Jelentkezzen be arra a kiszolgálóra, ahol telepítette az OMS-ügynököt.
Konfigurációs fájl letöltése vCenter.conf wget -v https://aka.ms/sentinel-vcenteroms-conf -O vcenter.conf
Másolja a vcenter.conf fájlt a /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ mappába. cp vcenter.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/
A vcenter.conf szerkesztése az alábbiak szerint:
a. A vcenter.conf alapértelmezés szerint a 22033-at használja. Győződjön meg arról, hogy ezt a portot más forrás nem használja a kiszolgálón
b. Ha módosítani szeretné a vcenter.conf alapértelmezett portját, győződjön meg arról, hogy nem használja az alapértelmezett Azure monotoring /log analitikus ügynökportokat. (Például a CEF a 25226-os vagy a 25224-ös TCP-portot használja)
c. cserélje le workspace_id a munkaterület-azonosító valós értékére (13.14.15.18. sor)
Mentse a módosításokat, és indítsa újra a Linuxhoz készült Azure Log Analytics-ügynököt a következő paranccsal: sudo /opt/microsoft/omsagent/bin/service_control restart
Modify /etc/rsyslog.conf file - add below template lehetőleg az elején / előtt irányelvek szakasz
$template vcenter,"%timestamp% %hostname% %msg%\ n"
Megjegyzés – A fenti parancsban nincs térköz a perjel(\) és az "n" karakter között.
Hozzon létre egy egyéni conf fájlt a /etc/rsyslog.d/ fájlban, például a 10-vcenter.conf fájlban, és adja hozzá a következő szűrőfeltételeket.
10-vCenter.conf konfigurációs fájl letöltése
Egy hozzáadott utasítással létre kell hoznia egy szűrőt, amely megadja a vcenter-kiszolgálóról érkező naplókat, amelyeket az egyéni táblába kell továbbítani.
referencia: Szűrőfeltételek – rsyslog 8.18.0.master dokumentáció
Íme egy példa a definiálható szűrésre, amely nem fejeződött be, és minden telepítéshez további tesztelésre lesz szükség.
if $rawmsg contains "vcenter-server" then @@127.0.0.1:22033;vcenter & stop if $rawmsg contains "vpxd" then @@127.0.0.1:22033;vcenter & stopRsyslog systemctl restart rsyslog újraindítása
A vCenter-eszköz(ek) konfigurálása és csatlakoztatása
Az alábbi utasításokat követve konfigurálhatja a vCentert a syslog továbbításához. Használja a Linux-eszköz IP-címét vagy gazdagépnevét a Cél IP-címként telepített Linux-ügynökkel.
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: