Поделиться через


[Не рекомендуется] Соединитель Cisco Meraki для Microsoft Sentinel

Внимание

Сбор журналов из многих устройств и устройств теперь поддерживается общим форматом событий (CEF) через AMA, Syslog через AMA или пользовательские журналы через соединитель данных AMA в Microsoft Sentinel. Дополнительные сведения см. в статье Поиск нужных соединителей данных Microsoft Sentinel.

Соединитель Cisco Meraki позволяет легко подключать журналы Cisco Meraki (MX/MR/MS) с помощью Microsoft Sentinel. В результате вы будете получать больше полезных сведений о сети организации и расширите свои возможности для обеспечения безопасности.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Таблицы Log Analytics meraki_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Корпорация Майкрософт

Примеры запросов

Общее количество событий по типу журнала

CiscoMeraki 

| summarize count() by LogType

Первые 10 заблокированных подключений

CiscoMeraki 

| where LogType == "security_event" 

| where Action == "block" 

| summarize count() by SrcIpAddr, DstIpAddr, Action, Disposition 

| top 10 by count_

Необходимые компоненты

Чтобы интегрироваться с [не рекомендуется] Cisco Meraki убедитесь, что у вас есть:

  • Cisco Meraki: необходимо настроить экспорт журналов с помощью Syslog

Инструкции по установке поставщика

ПРИМЕЧАНИЕ. Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним CiscoMeraki и загрузите код функции или щелкните здесь. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.

  1. Установка и подключение агента для Linux

Обычно агент следует устанавливать не на том же компьютере, где создаются журналы.

Журналы системного журнала собираются только из агентов Linux .

  1. Настройка журналов для сбора

Выполните приведенные ниже действия по настройке, чтобы получить журналы устройств Cisco Meraki в Microsoft Sentinel. Дополнительные сведения об этих шагах см. в документации по Azure Monitor. Для журналов Cisco Meraki возникают проблемы при анализе данных агентом OMS с помощью параметров по умолчанию. Поэтому мы советуем записывать журналы в пользовательские таблицы meraki_CL с помощью приведенных ниже инструкций.

  1. Войдите на сервер, на котором установлен агент OMS.

  2. Скачать файл конфигурации meraki.conf wget -v https://aka.ms/sentinel-ciscomerakioms-conf -O meraki.conf

  3. Скопируйте meraki.conf в папку /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/. cp meraki.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/

  4. Измените meraki.conf следующим образом:

    a. meraki.conf использует порт 22033 по умолчанию. Убедитесь, что этот порт не используется другим источником на сервере

    b. Если вы хотите изменить порт по умолчанию для meraki.conf, убедитесь, что вы не используете порты azure мониторинга /log analytic agent, т. е. (например, CEF использует TCP-порт 25226 или 25224)

    c. замените workspace_id реальным значением идентификатора рабочей области (строки 14 15 16 19)

  5. Сохраните изменения и перезапустите агент Azure Log Analytics для службы Linux с помощью следующей команды: sudo /opt/microsoft/omsagent/bin/service_control перезапуск

  6. Измените файл /etc/rsyslog.conf. Добавьте приведенный ниже шаблон в начале или перед разделом директив $template meraki"%timestamp% %hostname% %msg%\n"

  7. Создайте пользовательский файл conf в файле /etc/rsyslog.d/, например 10-meraki.conf и добавьте следующие условия фильтра.

    С добавленной инструкцией необходимо создать фильтр, который будет указывать журналы, поступающие из Cisco Meraki, для пересылки в настраиваемую таблицу.

    справочник. Условия фильтрации — документация по rsyslog 8.18.0.master

    Ниже приведен пример фильтрации, который можно определить, это не завершено и потребует дополнительного тестирования для каждой установки. Значение @@127.0.0.1:22033, если $rawmsg содержит "потоки"; meraki &stop, если $rawmsg содержит "брандмауэр", то @@127.0.0.1:22033; meraki &stop, если $rawmsg содержит "URL-адреса", то @@127.0.0.1:22033; meraki & stop, если $rawmsg содержит "ids-alerts", то @@127.0.0.1:22033; meraki &stop, если $rawmsg содержит "события", то @@127.0.0.1:22033; meraki &stop, если $rawmsg содержит "ip_flow_start", то @@127.0.0.1:22033; meraki &stop, если $rawmsg содержит "ip_flow_end", то @@127.0.0.1:22033; meraki &stop

  8. Перезапуск rsyslog systemctl restart rsyslog

  9. Настройка и подключение устройств Cisco Meraki

Следуйте этим инструкциям , чтобы настроить устройства Cisco Meraki для пересылки системного журнала. Используйте IP-адрес или имя узла для устройства Linux с агентом Linux, установленным в качестве IP-адреса назначения.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.