Konektor Cisco Software Defined WAN untuk Microsoft Azure Sentinel

  • Artikel

Konektor data Cisco Software Defined WAN (SD-WAN) menyediakan kemampuan untuk menyerap data Cisco SD-WAN Syslog dan Netflow ke Microsoft Sentinel.

Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.

atribut Koneksi or

Atribut konektor Deskripsi
Alias fungsi Kusto CiscoSyslogUTD
Url fungsi Kusto https://aka.ms/sentinel-CiscoSyslogUTD-parser
Tabel Log Analytics Syslog
CiscoSDWANNetflow_CL
Dukungan aturan pengumpulan data DCR transformasi ruang kerja
Didukung oleh Sistem Cisco

Kueri sampel

Peristiwa Syslog - Semua Peristiwa Syslog.

Syslog

| sort by TimeGenerated desc

Peristiwa Netflow Cisco SD-WAN - Semua Peristiwa Netflow.

CiscoSDWANNetflow_CL

| sort by TimeGenerated desc

Instruksi penginstalan vendor

Untuk menyerap data Cisco SD-WAN Syslog dan Netflow ke Microsoft Azure Sentinel, ikuti langkah-langkah di bawah ini.

  1. Langkah-langkah untuk menyerap data Syslog ke Microsoft Sentinel

Agen Azure Monitor akan digunakan untuk mengumpulkan data syslog ke Microsoft Sentinel. Untuk itu pertama-tama perlu membuat server azure arc untuk VM tempat data syslog akan dikirim.

1.1 Langkah-langkah untuk Menambahkan Azure Arc Server

  1. Di portal Azure, buka Server - Azure Arc dan klik Tambahkan.
  2. Pilih Hasilkan Skrip di bawah Tambahkan satu bagian server. Pengguna juga dapat menghasilkan skrip untuk Beberapa Server juga.
  3. Tinjau informasi di halaman Prasyarat, lalu pilih Berikutnya.
  4. Pada halaman Detail sumber daya, berikan grup langganan dan sumber daya Microsoft Azure Sentinel, Wilayah, Sistem operasi, dan metode Koneksi ivitas. Kemudian pilih Berikutnya.
  5. Pada halaman Tag, tinjau Tag lokasi fisik default yang disarankan dan masukkan nilai, atau tentukan satu atau beberapa Tag kustom untuk mendukung standar Anda. Lalu pilih Berikutnya
  6. Pilih Unduh untuk menyimpan file skrip.
  7. Sekarang setelah Anda membuat skrip, langkah selanjutnya adalah menjalankannya di server yang ingin Anda onboarding ke Azure Arc.
  8. Jika Anda memiliki Azure VM, ikuti langkah-langkah yang disebutkan dalam tautan sebelum menjalankan skrip.
  9. Jalankan skrip dengan perintah berikut: ./<ScriptName>.sh
  10. Setelah Anda menginstal agen dan mengonfigurasinya untuk menyambungkan ke server yang diaktifkan Azure Arc, buka portal Azure untuk memverifikasi bahwa server telah berhasil tersambung. Lihat komputer Anda di portal Microsoft Azure. Tautan referensi

1.2 Langkah untuk Membuat Aturan Pengumpulan Data (DCR)

  1. Di Portal Microsoft Azure cari Monitor. Di bawah Pengaturan, pilih Aturan Pengumpulan Data dan Pilih Buat.

  2. Pada panel Dasar, masukkan Nama Aturan, Langganan, Grup sumber daya, Wilayah, dan Jenis Platform.

  3. Pilih Berikutnya: Sumber Daya.

  4. Pilih Tambahkan sumber daya. Gunakan filter untuk menemukan komputer virtual yang akan Anda gunakan untuk mengumpulkan log.

  5. Silakan pilih komputer virtual. Pilih Terapkan.

  6. Pilih Berikutnya: Kumpulkan dan kirimkan.

  7. Pilih Tambahkan sumber data. Untuk Jenis sumber data, pilih syslog Linux.

  8. Untuk Tingkat log minimum, biarkan nilai default LOG_DEBUG.

  9. Pilih Berikutnya: Tujuan.

  10. Pilih Tambahkan tujuan dan tambahkan Jenis tujuan, Langganan dan Akun atau namespace layanan.

  11. Pilih Tambahkan sumber data. Pilih Berikutnya: Tinjau + buat.

  12. Pilih Buat. Tunggu selama 20 menit. Di Microsoft Sentinel atau Azure Monitor, verifikasi bahwa agen Azure Monitor berjalan di mesin virtual Anda. Tautan referensi

  13. Langkah-langkah untuk menyerap data Netflow ke Microsoft Sentinel

Untuk menyerap data Netflow ke Microsoft sentinel, Filebeat dan Logstash perlu diinstal dan dikonfigurasi pada VM. Setelah konfigurasi, vm akan dapat menerima data netflow pada port yang dikonfigurasi dan data tersebut akan diserap ke ruang kerja Microsoft Sentinel.

2.1 Menginstal filebeat dan logstash

  1. Untuk penginstalan filebeat dan logstash menggunakan apt lihat dokumen ini:
  2. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html.
  3. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html.
  4. Untuk penginstalan filebeat dan logstash untuk langkah-langkah Linux (yum) berbasis RedHat adalah sebagai berikut:
  5. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum.
  6. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum

2.2 Mengonfigurasi Filebeat untuk mengirim peristiwa ke Logstash

  1. Edit file filebeat.yml: vi /etc/filebeat/filebeat.yml
  2. Komentari bagian Output Elasticsearch.
  3. Bagian Uncomment Logstash Output (Batalkan komentar hanya dua baris ini)- host output.logstash: ["localhost:5044"]
  4. Di bagian Output Logstash, jika Anda ingin mengirim data selain port default yaitu port 5044, maka ganti nomor port di bidang host. (Catatan: Port ini harus ditambahkan dalam file conf, saat mengonfigurasi logstash.)
  5. Di bagian 'filebeat.inputs' komentari konfigurasi yang ada dan tambahkan konfigurasi berikut: - ketik: netflow max_message_size: 10KiB host: "0.0.0.0:2055" protokol: [ v5, v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions: - /etc/filebeat/custom.yml detect_sequence_reset: true enabled: true
  6. Di bagian Input filebeat, jika Anda ingin menerima data selain port default yaitu port 2055, maka ganti nomor port di bidang host.
  7. Tambahkan file custom.yml yang disediakan di dalam direktori /etc/filebeat/.
  8. Buka port input dan output filebeat di firewall.
  9. Jalankan perintah: firewall-cmd --zone=public --permanent --add-port=2055/udp
  10. Jalankan perintah: firewall-cmd --zone=public --permanent --add-port=5044/udp

Catatan: jika port kustom ditambahkan untuk input/output filebeat, buka port tersebut di firewall.

2.3 Mengonfigurasi Logstash untuk mengirim peristiwa ke Microsoft Azure Sentinel

  1. Instal plugin Azure Log Analytics:
  2. Jalankan Perintah: sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
  3. Simpan kunci ruang kerja Analitik Log di penyimpanan kunci Logstash. Kunci ruang kerja dapat ditemukan di Portal Microsoft Azure di bawah Ruang > kerja analitik log Pilih ruang > kerja Di bawah Pengaturan pilih instruksi agen Analitik Log Agen>.
  4. Salin Kunci primer dan jalankan perintah berikut:
  5. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
  6. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
  7. Buat file konfigurasi /etc/logstash/cisco-netflow-to-sentinel.conf: input { beats { port =><port_number> #(Masukkan nomor port output yang telah dikonfigurasi selama konfigurasi filebeat yaitu. filebeat.yml file .) } } output { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } } }

Catatan: Jika tabel tidak ada di Microsoft Azure Sentinel, maka tabel tersebut akan membuat tabel baru di sentinel.

2.4 Jalankan Filebeat:

  1. Buka terminal dan jalankan perintah:

systemctl start filebeat

  1. Perintah ini akan mulai menjalankan filebeat di latar belakang. Untuk melihat log menghentikan filebeat (systemctl stop filebeat) lalu jalankan perintah berikut:

filebeat run -e

2.5 Jalankan Logstash:

  1. Di terminal lain, jalankan perintah :

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &

  1. Perintah ini akan mulai menjalankan logstash di latar belakang. Untuk melihat log logstash, matikan proses di atas dan jalankan perintah berikut :

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf

Langkah berikutnya

Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.