Udostępnij za pośrednictwem

[Przestarzałe] Łącznik Ubiquiti UniFi dla usługi Microsoft Sentinel

  • Artykuł

Ważne

Zbieranie dzienników z wielu urządzeń i urządzeń jest teraz obsługiwane przez format Common Event Format (CEF) za pośrednictwem amA, dziennika systemowego za pośrednictwem usługi AMA lub dzienników niestandardowych za pośrednictwem łącznika danych AMA w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Znajdowanie łącznika danych usługi Microsoft Sentinel.

Łącznik danych Ubiquiti UniFi zapewnia możliwość pozyskiwania zapory Ubiquiti UniFi, dns, ssh, zdarzeń ap w usłudze Microsoft Sentinel.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

Atrybuty łącznika

Atrybut łącznika opis
Tabele usługi Log Analytics Ubiquiti_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Microsoft Corporation

Przykłady zapytań

10 pierwszych klientów (źródłowy adres IP)

UbiquitiAuditEvent

| summarize count() by SrcIpAddr

| top 10 by count_

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która działa zgodnie z oczekiwaniami UbiquitiAuditEvent , która jest wdrażana z rozwiązaniem usługi Microsoft Sentinel.

Uwaga

Ten łącznik danych został opracowany przy użyciu programu Enterprise System Controller Release Version: 5.6.2 (Syslog)

  1. Instalowanie i dołączanie agenta dla systemu Linux lub Windows

Zainstaluj agenta na serwerze, do którego dzienniki Ubiquiti są przekazywane z urządzenia Ubiquiti (np. zdalnego serwera syslog)

Dzienniki z systemu Ubiquiti Server wdrożone na serwerach z systemem Linux lub Windows są zbierane przez agentów systemu Linux lub Windows .

  1. Konfigurowanie dzienników do zebrania

Wykonaj poniższe kroki konfiguracji, aby uzyskać dzienniki ubiquiti w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji na temat tych kroków, zapoznaj się z dokumentacją usługi Azure Monitor.

  1. Skonfiguruj przekazywanie dzienników na kontrolerze Ubiquiti:

    i. Przejdź do pozycji Ustawienia > Konfiguracja zdalnego rejestrowania kontrolera > ustawień > systemu i włącz dzienniki dziennika systemowego i debugowania (opcjonalnie) (zapoznaj się z podręcznikiem użytkownika, aby uzyskać szczegółowe instrukcje).

  2. Pobierz plik konfiguracji Ubiquiti.conf.

  3. Zaloguj się do serwera, na którym zainstalowano agenta usługi Azure Log Analytics.

  4. Skopiuj plik Ubiquiti.conf do folderu /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.

  5. Edytuj plik Ubiquiti.conf w następujący sposób:

    i. określ port, do którego ustawiono urządzenie Ubiquiti, aby przekazywać dzienniki do (wiersz 4)

    ii. zastąp workspace_id wartością rzeczywistą identyfikatora obszaru roboczego (wiersze 14,15,16,19)

  6. Zapisz zmiany i uruchom ponownie agenta usługi Azure Log Analytics dla systemu Linux za pomocą następującego polecenia: sudo /opt/microsoft/omsagent/bin/service_control restart

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.