Condividi tramite

[Deprecato] Connettore UniFi Ubiquiti per Microsoft Sentinel

  • Articolo

Importante

La raccolta di log da molti dispositivi e appliance è ora supportata da Common Event Format (CEF) tramite AMA, syslog tramite AMA o log personalizzati tramite il connettore dati AMA in Microsoft Sentinel. Per altre informazioni, vedere Trovare il connettore dati di Microsoft Sentinel.

Il connettore dati UniFi di Ubiquiti offre la possibilità di inserire gli eventi Ubiquiti UniFi firewall, dns, ssh, AP in Microsoft Sentinel.

Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.

Attributi connettore

Attributo connettore Descrizione
Tabelle Log Analytics Ubiquiti_CL
Supporto regole di raccolta dati Non è al momento supportato
Supportata da: Microsoft Corporation

Esempi di query

10 client principali (IP di origine)

UbiquitiAuditEvent

| summarize count() by SrcIpAddr

| top 10 by count_

Istruzioni per l’installazione di Vendor

Nota

Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto UbiquitiAuditEvent distribuito con la soluzione Microsoft Sentinel.

Nota

Questo connettore dati è stato sviluppato con Enterprise System Controller Release Version: 5.6.2 (Syslog)

  1. Installare ed eseguire l'onboarding dell'agente per Linux o Windows

Installare l'agente nel server in cui i log Ubiquiti sono server d'inoltro dal dispositivo Ubiquiti (ad esempio, server syslog remoto)

I log di Ubiquiti Server distribuiti in server Linux o Windows vengono raccolti dagli agenti Linux o Windows .

  1. Configurare i log da raccogliere

Seguire la procedura di configurazione seguente per ottenere i log di Ubiquiti in Microsoft Sentinel. Per informazioni più dettagliate su questi attributi, consultare la documentazione relativa a Monitoraggio di Azure.

  1. Configurare l'inoltro dei log nel controller Ubiquiti:

    i. Passare a Impostazioni Impostazioni > > Configurazione controller Configurazione > registrazione remota e abilitare i log syslog e debug (facoltativo) (fare riferimento alla Guida per l'utente per istruzioni dettagliate).

  2. Scaricare il file di configurazione Ubiquiti.conf.

  3. Accedere al server in cui è stato installato l'agente di Azure Log Analytics.

  4. Copiare Ubiquiti.conf nella cartella /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ .

  5. Modificare Ubiquiti.conf come indicato di seguito:

    i. specificare la porta su cui è stato impostato il dispositivo Ubiquiti per inoltrare i log (riga 4)

    ii. sostituire workspace_id con il valore reale dell'ID area di lavoro (righe 14,15,16,19)

  6. Salvare le modifiche e riavviare l'agente di Azure Log Analytics per il servizio Linux con il comando seguente: sudo /opt/microsoft/omsagent/bin/service_control restart

Passaggi successivi

Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.