Łącznik VMware vCenter dla usługi Microsoft Sentinel

  • Artykuł

Łącznik vCenter umożliwia łatwe łączenie dzienników serwera vCenter z usługą Microsoft Sentinel. Zapewnia to lepszy wgląd w centra danych organizacji i zwiększa możliwości operacji zabezpieczeń.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

atrybuty Połączenie or

atrybut Połączenie or opis
Tabele usługi Log Analytics vCenter_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Microsoft Corporation

Przykłady zapytań

Łączna liczba zdarzeń według typu zdarzenia

vCenter 

| summarize count() by EventType

logowanie/wyjście do programu vCenter Server

vCenter 

| where EventType in ('UserLogoutSessionEvent','UserLoginSessionEvent') 

| summarize count() by EventType,EventID,UserName,UserAgent 

| top 10 by count_

Instrukcje instalacji dostawcy

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami, która jest wdrażana w ramach rozwiązania. Aby wyświetlić kod funkcji w usłudze Log Analytics, otwórz blok Dzienniki usługi Log Analytics/Microsoft Sentinel, kliknij pozycję Funkcje i wyszukaj alias VMware vCenter i załaduj kod funkcji lub kliknij tutaj, w drugim wierszu zapytania wprowadź nazwy hostów urządzeń VMware vCenter i innych unikatowych identyfikatorów strumienia dzienników. Aktywacja funkcji zwykle trwa od 10 do 15 minut po zainstalowaniu/aktualizacji rozwiązania.

  1. Jeśli nie zainstalowano rozwiązania vCenter z witryny ContentHub, wykonaj kroki , aby użyć aliasu funkcji Kusto, vCenter
  1. Instalowanie i dołączanie agenta dla systemu Linux

Zazwyczaj należy zainstalować agenta na innym komputerze niż ten, na którym są generowane dzienniki.

Dzienniki dziennika systemowego są zbierane tylko z agentów systemu Linux .

  1. Konfigurowanie dzienników do zebrania

Wykonaj poniższe kroki konfiguracji, aby uzyskać dzienniki serwera vCenter w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji na temat tych kroków, zapoznaj się z dokumentacją usługi Azure Monitor. W przypadku dzienników programu vCenter Server występują problemy podczas analizowania danych przez agenta pakietu OMS przy użyciu ustawień domyślnych. Dlatego zalecamy przechwycenie dzienników do tabeli niestandardowej vCenter_CL , korzystając z poniższych instrukcji.

  1. Zaloguj się do serwera, na którym zainstalowano agenta pakietu OMS.

  2. Pobierz plik konfiguracji vCenter.conf wget -v https://aka.ms/sentinel-vcenteroms-conf -O vcenter.conf

  3. Skopiuj plik vcenter.conf do folderu /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/. cp vcenter.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/

  4. Edytuj plik vcenter.conf w następujący sposób:

    a. Program vcenter.conf domyślnie używa portu 22033 . Upewnij się, że ten port nie jest używany przez żadne inne źródło na serwerze

    b. Jeśli chcesz zmienić port domyślny dla pliku vcenter.conf , upewnij się, że nie używasz domyślnych portów agenta monotoringu /log analitycznego agenta, np. (Na przykład format CEF używa portu TCP 25226 lub 25224)

    c. zastąp workspace_id wartością rzeczywistą identyfikatora obszaru roboczego (wiersze 13,14,15,18)

  5. Zapisz zmiany i uruchom ponownie agenta usługi Azure Log Analytics dla systemu Linux za pomocą następującego polecenia: sudo /opt/microsoft/omsagent/bin/service_control restart

  6. Zmodyfikuj plik /etc/rsyslog.conf — dodaj poniższy szablon najlepiej na początku /przed sekcją dyrektyw $template vcenter,"%timestamp% %hostname% %msg%\n"

  7. Utwórz niestandardowy plik conf w pliku /etc/rsyslog.d/ na przykład 10-vcenter.conf i dodaj następujące warunki filtrowania.

    Po dodaniu instrukcji należy utworzyć filtr, który określi dzienniki pochodzące z serwera vcenter, które mają być przekazywane do tabeli niestandardowej.

    dokumentacja: Warunki filtrowania — dokumentacja rsyslog 8.18.0.master

    Oto przykład filtrowania, który można zdefiniować, to nie jest ukończone i będzie wymagać dodatkowego testowania dla każdej instalacji. jeśli $rawmsg zawiera ciąg "vcenter-server", to @@127.0.0.1:22033; vcenter & stop, jeśli $rawmsg zawiera "vpxd", to @@127.0.0.1:22033; vcenter & stop

  8. Uruchom ponownie rsyslog systemctl restart rsyslog

  9. Konfigurowanie i łączenie urządzeń vCenter

Postępuj zgodnie z tymi instrukcjami , aby skonfigurować program vCenter do przesyłania dalej dziennika systemowego. Użyj adresu IP lub nazwy hosta dla urządzenia z systemem Linux z agentem systemu Linux zainstalowanym jako docelowy adres IP.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.