Connettore Ubiquiti UniFi (anteprima) per Microsoft Sentinel

  • Articolo

Il connettore dati Ubiquiti UniFi offre la funzionalità di inserimento di firewall Ubiquiti UniFi, dns, ssh, API in Microsoft Sentinel.

Attributi del connettore

Attributo del connettore Descrizione
Tabelle log Analytics Ubiquiti_CL
Supporto delle regole di raccolta dati Attualmente non supportato
Supportato da Microsoft Corporation

Esempi di query

Primi 10 client (IP di origine)

UbiquitiAuditEvent

| summarize count() by SrcIpAddr

| top 10 by count_

Istruzioni per l'installazione del fornitore

Nota

Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto UbiquitiAuditEvent distribuito con la soluzione Microsoft Sentinel.

Nota

Questo connettore dati è stato sviluppato usando Enterprise System Controller Release Versione: 5.6.2 (Syslog)

  1. Installare e eseguire l'onboarding dell'agente per Linux o Windows

Installare l'agente nel server in cui i log Ubiquiti vengono inoltrati dal dispositivo Ubiquiti (ad esempio il server syslog remoto)

I log di Ubiquiti Server distribuiti in server Linux o Windows vengono raccolti dagli agenti Linux o Windows .

  1. Configurare i log da raccogliere

Seguire la procedura di configurazione seguente per ottenere i log Ubiquiti in Microsoft Sentinel. Per altre informazioni su questi passaggi, vedere la documentazione di Monitoraggio di Azure .

  1. Configurare l'inoltro dei log nel controller Ubiquiti:

    i. Passare a Impostazioni Impostazioni >> configurazione controller configurazione > remota registrazione remota e abilitare i log syslog e debug (facoltativo) (vedere Guida utente per istruzioni dettagliate).

  2. Scaricare il file di configurazione Ubiquiti.conf.

  3. Accedere al server in cui è stato installato l'agente di Azure Log Analytics.

  4. Copiare Ubiquiti.conf nella cartella /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.

  5. Modifica Ubiquiti.conf come indicato di seguito:

    i. specificare la porta in cui è stato impostato il dispositivo Ubiquiti per inoltrare i log a (riga 4)

    ii. sostituire workspace_id con valore reale dell'ID area di lavoro (righe 14,15,16,19)

  6. Salvare le modifiche e riavviare l'agente di Azure Log Analytics per il servizio Linux con il comando seguente: sudo /opt/microsoft/omsagent/bin/service_control riavviare

Passaggi successivi

Per altre informazioni, passare alla soluzione correlata nel Azure Marketplace.