Conector WAN definido por software Cisco para Microsoft Sentinel
O conector de dados Cisco Software Defined WAN(SD-WAN) fornece a capacidade de ingerir dados Cisco SD-WAN , Syslog e Netflow no Microsoft Sentinel.
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Alias de função Kusto | CiscoSyslogUTD |
| URL da função Kusto | https://aka.ms/sentinel-CiscoSyslogUTD-parser |
| Tabela(s) do Log Analytics | Syslog CiscoSDWANNetflow_CL |
| Suporte a regras de coleta de dados | Transformar DCR no espaço de trabalho |
| Apoiado por | Sistemas Cisco |
Exemplos de consulta
Eventos Syslog - Todos os Eventos Syslog.
Syslog
| sort by TimeGenerated desc
Eventos do Cisco SD-WAN Netflow - Todos os eventos do Netflow.
CiscoSDWANNetflow_CL
| sort by TimeGenerated desc
Instruções de instalação do fornecedor
Para ingerir dados Cisco SD-WAN, Syslog e Netflow no Microsoft Sentinel, siga as etapas abaixo.
- Etapas para ingerir dados do Syslog para o Microsoft sentinel
O Azure Monitor Agent será usado para coletar os dados do syslog no Microsoft sentinel. Para isso, primeiro precisa criar um servidor azure arc para a VM a partir da qual os dados syslog serão enviados.
1.1 Etapas para adicionar o Azure Arc Server
- No portal do Azure, vá para Servidores - Azure Arc e clique em Adicionar.
- Selecione Gerar script na seção Adicionar um único servidor. Um usuário também pode gerar scripts para vários servidores.
- Reveja as informações na página Pré-requisitos e, em seguida, selecione Seguinte.
- Na página Detalhes do recurso, forneça a assinatura e o grupo de recursos do método Microsoft Sentinel, Região, Sistema operacional e Conectividade. Em seguida, selecione Seguinte.
- Na página Etiquetas, reveja as etiquetas de localização física predefinidas sugeridas e introduza um valor ou especifique uma ou mais etiquetas personalizadas para suportar os seus padrões. Em seguida, selecione Avançar
- Selecione Download para salvar o arquivo de script.
- Agora que você gerou o script, a próxima etapa é executá-lo no servidor que você deseja integrar ao Azure Arc.
- Se você tiver a VM do Azure, siga as etapas mencionadas no link antes de executar o script.
- Execute o script pelo seguinte comando:
./<ScriptName>.sh - Depois de instalar o agente e configurá-lo para se conectar aos servidores habilitados para Arco do Azure, vá para o portal do Azure para verificar se o servidor se conectou com êxito. Exiba sua máquina no portal do Azure. Link de referência
1.2 Etapas para criar uma regra de coleta de dados (DCR)
No Portal do Azure, procure Monitor. Em Configurações, selecione Regras de Coleta de Dados e Criar.
No painel Noções básicas, insira o Nome da regra, Assinatura, Grupo de recursos, Região e Tipo de plataforma.
Selecione Next: Resources.
Selecione Adicionar recursos. Use os filtros para localizar a máquina virtual que você usará para coletar logs.
Selecione a máquina virtual. Selecione Aplicar.
Selecione Next: Coletar e entregar.
Selecione Adicionar origem de dados. Para Tipo de fonte de dados, selecione Linux syslog.
Para Nível mínimo de log, deixe os valores padrão LOG_DEBUG.
Selecione Next: Destination.
Selecione Adicionar destino e adicione Tipo de destino, Assinatura e Conta ou namespace.
Selecione Adicionar origem de dados. Selecione Seguinte: Rever + criar.
Selecione Criar. Aguarde 20 minutos. No Microsoft Sentinel ou no Azure Monitor, verifique se o agente do Azure Monitor está em execução na sua VM. Link de referência
Etapas para ingerir dados do Netflow para o Microsoft sentinel
Para ingerir dados do Netflow no Microsoft sentinel, o Filebeat e o Logstash precisam ser instalados e configurados na VM. Após a configuração, vm será capaz de receber dados netflow na porta configurada e esses dados serão ingeridos no espaço de trabalho do Microsoft sentinel.
2.1 Instalar filebeat e logstash
- Para a instalação de filebeat e logstash usando apt consulte este doc:
- Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html.
- Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html.
- Para a instalação de filebeat e logstash para Linux baseado em RedHat (yum), as etapas são as seguintes:
- Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum.
- Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum
2.2 Configurar o Filebeat para enviar eventos para o Logstash
- Edite filebeat.yml arquivo:
vi /etc/filebeat/filebeat.yml - Comente a seção Saída do Elasticsearch.
- Uncomment Logstash Output section (Descomente apenas estas duas linhas)- output.logstash hosts: ["localhost:5044"]
- Na seção Logstash Output, se você quiser enviar os dados diferentes da porta padrão, ou seja, a porta 5044, substitua o número da porta no campo hosts. (Nota: Esta porta deve ser adicionada no arquivo conf, durante a configuração do logstash.)
- Na seção 'filebeat.inputs' comente a configuração existente e adicione a seguinte configuração: - tipo: netflow max_message_size: host 10KiB: "0.0.0.0:2055" protocolos: [ v5, v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions: - /etc/filebeat/custom.yml detect_sequence_reset: true habilitado: true
- Na seção Filebeat inputs, se você quiser receber os dados diferentes da porta padrão, ou seja, a porta 2055, substitua o número da porta no campo host.
- Adicione o arquivo custom.yml fornecido dentro do diretório /etc/filebeat/.
- Abra a porta de entrada e saída filebeat no firewall.
- Executar comando:
firewall-cmd --zone=public --permanent --add-port=2055/udp - Executar comando:
firewall-cmd --zone=public --permanent --add-port=5044/udp
Nota: se uma porta personalizada for adicionada para entrada/saída filebeat, abra essa porta no firewall.
2.3 Configurar o Logstash para enviar eventos para o Microsoft Sentinel
- Instale o plug-in do Azure Log Analytics:
- Executar comando:
sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics - Armazene a chave do espaço de trabalho do Log Analytics no repositório de chaves Logstash. A chave do espaço de trabalho pode ser encontrada no Portal do Azure em Espaço de trabalho > analítico de log Selecionar espaço de trabalho > Em Configurações, selecione Instruções do agente do Agent > Log Analytics.
- Copie a chave primária e execute os seguintes comandos:
sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKeysudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey- Crie o arquivo de configuração /etc/logstash/cisco-netflow-to-sentinel.conf: input { beats { port =><port_number> #(Insira o número da porta de saída que foi configurado durante a configuração do filebeat, ou seja, filebeat.yml arquivo .) } } output { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } }
Nota: Se a tabela não estiver presente no Microsoft sentinel, criará uma nova tabela no sentinel.
2.4 Execute o Filebeat:
- Abra um terminal e execute o comando:
systemctl start filebeat
- Este comando começará a executar filebeat em segundo plano. Para ver os logs, pare o filebeat (
systemctl stop filebeat) e execute o seguinte comando:
filebeat run -e
2.5 Execute o Logstash:
- Em outro terminal, execute o comando:
/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &
- Este comando começará a executar o logstash em segundo plano. Para ver os logs de logstash mate o processo acima e execute o seguinte comando:
/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.