Udostępnij za pośrednictwem

Łącznik cisco Software Defined WAN dla usługi Microsoft Sentinel

  • Artykuł

Łącznik danych Cisco Software Defined WAN (SD-WAN) umożliwia pozyskiwanie danych Cisco SD-WAN Syslog i Netflow do usługi Microsoft Sentinel.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

atrybuty Połączenie or

atrybut Połączenie or opis
Alias funkcji Kusto CiscoSyslogUTD
Adres URL funkcji Kusto https://aka.ms/sentinel-CiscoSyslogUTD-parser
Tabele usługi Log Analytics Dziennik systemu
CiscoSDWANNetflow_CL
Obsługa reguł zbierania danych Przekształcanie obszaru roboczego DCR
Obsługiwane przez Cisco Systems

Przykłady zapytań

Zdarzenia dziennika systemowego — wszystkie zdarzenia dziennika systemowego.

Syslog

| sort by TimeGenerated desc

Cisco SD-WAN Netflow Events — wszystkie zdarzenia Netflow.

CiscoSDWANNetflow_CL

| sort by TimeGenerated desc

Instrukcje instalacji dostawcy

Aby pozyskać dane oprogramowania Cisco SD-WAN Syslog i Netflow do usługi Microsoft Sentinel, wykonaj poniższe kroki.

  1. Kroki pozyskiwania danych dziennika systemowego do usługi Microsoft Sentinel

Agent usługi Azure Monitor będzie używany do zbierania danych dziennika systemowego do usługi Microsoft Sentinel. W tym celu należy najpierw utworzyć serwer usługi Azure Arc dla maszyny wirtualnej, z której będą wysyłane dane dziennika systemowego.

1.1 Kroki dodawania serwera Usługi Azure Arc

  1. W witrynie Azure Portal przejdź do pozycji Serwery — Azure Arc i kliknij pozycję Dodaj.
  2. Wybierz pozycję Generuj skrypt w sekcji Dodaj pojedynczy serwer. Użytkownik może również generować skrypty dla wielu serwerów.
  3. Przejrzyj informacje na stronie Wymagania wstępne, a następnie wybierz pozycję Dalej.
  4. Na stronie Szczegóły zasobu podaj subskrypcję i grupę zasobów usługi Microsoft Sentinel, region, system operacyjny i metodę Połączenie ivity. Następnie kliknij przycisk Dalej.
  5. Na stronie Tagi przejrzyj sugerowane domyślne tagi lokalizacji fizycznej i wprowadź wartość lub określ co najmniej jeden tag niestandardowy do obsługi standardów. Następnie wybierz pozycję Dalej
  6. Wybierz pozycję Pobierz, aby zapisać plik skryptu.
  7. Po wygenerowaniu skryptu następnym krokiem jest uruchomienie go na serwerze, który chcesz dołączyć do usługi Azure Arc.
  8. Jeśli masz maszynę wirtualną platformy Azure, wykonaj kroki wymienione w linku przed uruchomieniem skryptu.
  9. Uruchom skrypt za pomocą następującego polecenia: ./<ScriptName>.sh
  10. Po zainstalowaniu agenta i skonfigurowaniu go w celu nawiązania połączenia z serwerami z obsługą usługi Azure Arc przejdź do witryny Azure Portal, aby sprawdzić, czy serwer został pomyślnie połączony. Wyświetl maszynę w witrynie Azure Portal. Link referencyjny

1.2 Kroki tworzenia reguły zbierania danych (DCR)

  1. W witrynie Azure Portal wyszukaj pozycję Monitor. W obszarze Ustawienia wybierz pozycję Reguły zbierania danych i wybierz pozycję Utwórz.

  2. Na panelu Podstawowe wprowadź nazwę reguły, subskrypcję, grupę zasobów, region i typ platformy.

  3. Wybierz pozycję Dalej: zasoby.

  4. Wybierz pozycję Dodaj zasoby. Użyj filtrów, aby znaleźć maszynę wirtualną, której użyjesz do zbierania dzienników.

  5. Wybierz maszynę wirtualną. Wybierz Zastosuj.

  6. Wybierz pozycję Dalej: zbierz i dostarczyj.

  7. Wybierz Dodaj źródła danych. W polu Typ źródła danych wybierz pozycję Dziennik systemu Linux.

  8. W obszarze Minimalny poziom dziennika pozostaw wartości domyślne LOG_DEBUG.

  9. Wybierz pozycję Dalej: Miejsce docelowe.

  10. Wybierz pozycję Dodaj miejsce docelowe i dodaj typ miejsca docelowego, subskrypcję i konto lub przestrzeń nazw.

  11. Wybierz Dodaj źródła danych. Wybierz pozycję Dalej: Przeglądanie i tworzenie.

  12. Wybierz pozycję Utwórz. Poczekaj 20 minut. W usłudze Microsoft Sentinel lub Azure Monitor sprawdź, czy agent usługi Azure Monitor jest uruchomiony na maszynie wirtualnej. Link referencyjny

  13. Kroki pozyskiwania danych netflow do usługi Microsoft Sentinel

Aby pozyskać dane netflow do usługi Microsoft Sentinel, należy zainstalować i skonfigurować usługę Filebeat i Logstash na maszynie wirtualnej. Po zakończeniu konfiguracji maszyna wirtualna będzie mogła odbierać dane netflow na skonfigurowanym porcie i te dane zostaną pozyskane do obszaru roboczego usługi Microsoft Sentinel.

2.1 Instalowanie plikubeat i logstash

  1. Aby uzyskać informacje na temat instalacji pliku i narzędzia logstash przy użyciu narzędzia apt, zapoznaj się z tym dokumentem:
  2. Plikbeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html.
  3. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html.
  4. W przypadku instalacji narzędzia filebeat i logstash dla systemu Linux opartego na systemie RedHat (yum) kroki są następujące:
  5. Plikbeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum.
  6. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum

2.2. Konfigurowanie pliku w celu wysyłania zdarzeń do usługi Logstash

  1. Edytuj plik filebeat.yml: vi /etc/filebeat/filebeat.yml
  2. Oznacz jako komentarz sekcję Dane wyjściowe usługi Elasticsearch.
  3. Usuń komentarz z sekcji Dane wyjściowe usługi Logstash (usuń komentarz tylko z tych dwóch wierszy) — output.logstash hosts: ["localhost:5044"]
  4. W sekcji Dane wyjściowe usługi Logstash, jeśli chcesz wysłać dane inne niż port domyślny, tj. port 5044, zastąp numer portu w polu hostów. (Uwaga: ten port należy dodać w pliku conf podczas konfigurowania narzędzia logstash).
  5. W sekcji "filebeat.inputs" dodaj istniejącą konfigurację i dodaj następującą konfigurację: - type: netflow max_message_size: 10KiB host: "0.0.0.0.2055" protokoły: [ v5, v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions: - /etc/filebeat/custom.yml detect_sequence_reset: true enabled: true
  6. W sekcji Dane wejściowe pliku, jeśli chcesz odbierać dane inne niż port domyślny, tj. port 2055, zastąp numer portu w polu hosta.
  7. Dodaj podany plik custom.yml wewnątrz katalogu /etc/filebeat/.
  8. Otwórz port wejściowy i wyjściowy pliku w zaporze.
  9. Uruchom polecenie: firewall-cmd --zone=public --permanent --add-port=2055/udp
  10. Uruchom polecenie: firewall-cmd --zone=public --permanent --add-port=5044/udp

Uwaga: jeśli dla danych wejściowych/wyjściowych pliku dodano niestandardowy port, otwórz ten port w zaporze.

2.3. Konfigurowanie usługi Logstash do wysyłania zdarzeń do usługi Microsoft Sentinel

  1. Zainstaluj wtyczkę usługi Azure Log Analytics:
  2. Uruchom polecenie: sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
  3. Zapisz klucz obszaru roboczego usługi Log Analytics w magazynie kluczy usługi Logstash. Klucz obszaru roboczego można znaleźć w witrynie Azure Portal w obszarze Obszar roboczy analizy dzienników Wybierz obszar roboczy > > W obszarze Ustawienia wybierz pozycję Instrukcje agenta > usługi Log Analytics.
  4. Skopiuj klucz podstawowy i uruchom następujące polecenia:
  5. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
  6. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
  7. Utwórz plik konfiguracji /etc/logstash/cisco-netflow-to-sentinel.conf: input { beats { port =><port_number> #(Wprowadź numer portu wyjściowego, który został skonfigurowany podczas konfiguracji pliku, tj. filebeat.yml plik .) } } dane wyjściowe { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } }

Uwaga: jeśli tabela nie istnieje w usłudze Microsoft Sentinel, zostanie utworzona nowa tabela w usłudze sentinel.

2.4 Uruchom plikbeat:

  1. Otwórz terminal i uruchom polecenie:

systemctl start filebeat

  1. To polecenie rozpocznie uruchamianie pliku w tle. Aby wyświetlić dzienniki, zatrzymaj plik (systemctl stop filebeat), a następnie uruchom następujące polecenie:

filebeat run -e

2.5 Uruchom narzędzie Logstash:

  1. W innym terminalu uruchom polecenie:

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &

  1. To polecenie rozpocznie uruchamianie narzędzia logstash w tle. Aby wyświetlić dzienniki usługi logstash zabić powyższy proces i uruchomić następujące polecenie:

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.