Connettore Ubiquiti UniFi (anteprima) per Microsoft Sentinel
Il connettore dati Ubiquiti UniFi offre la funzionalità di inserimento di firewall Ubiquiti UniFi, dns, ssh, API in Microsoft Sentinel.
Attributi del connettore
Attributo del connettore | Descrizione |
---|---|
Tabelle log Analytics | Ubiquiti_CL |
Supporto delle regole di raccolta dati | Attualmente non supportato |
Supportato da | Microsoft Corporation |
Esempi di query
Primi 10 client (IP di origine)
UbiquitiAuditEvent
| summarize count() by SrcIpAddr
| top 10 by count_
Istruzioni per l'installazione del fornitore
Nota
Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto UbiquitiAuditEvent distribuito con la soluzione Microsoft Sentinel.
Nota
Questo connettore dati è stato sviluppato usando Enterprise System Controller Release Versione: 5.6.2 (Syslog)
- Installare e eseguire l'onboarding dell'agente per Linux o Windows
Installare l'agente nel server in cui i log Ubiquiti vengono inoltrati dal dispositivo Ubiquiti (ad esempio il server syslog remoto)
I log di Ubiquiti Server distribuiti in server Linux o Windows vengono raccolti dagli agenti Linux o Windows .
- Configurare i log da raccogliere
Seguire la procedura di configurazione seguente per ottenere i log Ubiquiti in Microsoft Sentinel. Per altre informazioni su questi passaggi, vedere la documentazione di Monitoraggio di Azure .
Configurare l'inoltro dei log nel controller Ubiquiti:
i. Passare a Impostazioni Impostazioni >> configurazione controller configurazione > remota registrazione remota e abilitare i log syslog e debug (facoltativo) (vedere Guida utente per istruzioni dettagliate).
Scaricare il file di configurazione Ubiquiti.conf.
Accedere al server in cui è stato installato l'agente di Azure Log Analytics.
Copiare Ubiquiti.conf nella cartella /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.
Modifica Ubiquiti.conf come indicato di seguito:
i. specificare la porta in cui è stato impostato il dispositivo Ubiquiti per inoltrare i log a (riga 4)
ii. sostituire workspace_id con valore reale dell'ID area di lavoro (righe 14,15,16,19)
Salvare le modifiche e riavviare l'agente di Azure Log Analytics per il servizio Linux con il comando seguente: sudo /opt/microsoft/omsagent/bin/service_control riavviare
Passaggi successivi
Per altre informazioni, passare alla soluzione correlata nel Azure Marketplace.