Соединитель Cisco Software Defined WAN для Microsoft Sentinel

Соединитель данных Cisco Software Defined WAN (SD-WAN) предоставляет возможность приема данных системного журнала Cisco SD-WAN и Netflow в Microsoft Sentinel.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя	Description
Псевдоним функции Kusto	CiscoSyslogUTD
URL-адрес функции Kusto	https://aka.ms/sentinel-CiscoSyslogUTD-parser
Таблицы Log Analytics	Системный журнал CiscoSDWANNetflow_CL
Поддержка правил сбора данных	Преобразование DCR рабочей области
Поддерживается	Cisco Systems

Примеры запросов

События системного журнала — все события системного журнала.

Syslog

| sort by TimeGenerated desc

События Netflow для Cisco SD-WAN — все события Netflow.

CiscoSDWANNetflow_CL

| sort by TimeGenerated desc

Инструкции по установке поставщика

Чтобы принять данные системного журнала и Netflow Cisco SD-WAN в Microsoft Sentinel, выполните указанные ниже действия.

1. Действия по приему данных системного журнала в Microsoft sentinel

Агент Azure Monitor будет использоваться для сбора данных системного журнала в Microsoft sentinel. Для этого сначала необходимо создать сервер Azure Arc для виртуальной машины, из которой будут отправляться данные системного журнала.

1.1 Шаги по добавлению Azure Arc Server

1. В портал Azure перейдите на серверы — Azure Arc и нажмите кнопку "Добавить".
2. Выберите "Создать скрипт" в разделе "Добавить один сервер". Пользователь также может создавать скрипты для нескольких серверов.
3. Просмотрите сведения на странице "Предварительные требования", а затем нажмите кнопку "Далее".
4. На странице сведений о ресурсе укажите подписку и группу ресурсов метода Microsoft Sentinel, Region, Operating system и Подключение ivity. Затем выберите Далее.
5. На странице Теги проверьте теги физического расположения, заданные по умолчанию, а затем введите нужное значение или укажите один или несколько настраиваемых тегов в соответствии со своими стандартами. Затем нажмите Далее
6. Нажмите кнопку "Скачать", чтобы сохранить файл скрипта.
7. Теперь, когда вы создали скрипт, следующий шаг — запустить его на сервере, который требуется подключить к Azure Arc.
8. Если у вас есть виртуальная машина Azure, выполните действия, упоминание в ссылке перед выполнением скрипта.
9. Выполните скрипт с помощью следующей команды: ./<ScriptName>.sh
10. После установки агента и настройки его подключения к серверам с поддержкой Azure Arc перейдите на портал Azure и проверьте, подключен ли сервер. Просмотрите свои компьютеры на портале Azure. Ссылка на ссылку

1.2. Действия по созданию правила сбора данных (DCR)

1. На портале Azure найдите Monitor. В разделе Параметры выберите "Правила сбора данных" и "Создать".

2. На панели "Основы" введите имя правила, подписку, группу ресурсов, регион и тип платформы.

3. Выберите Далее: Ресурс .

4. Выберите "Добавить ресурсы". Используйте фильтры для поиска виртуальной машины, используемой для сбора журналов.

5. Выберите виртуальную машину. Выберите Применить.

6. Выберите Далее: сбор и доставка.

7. Выберите Добавить источник данных. Для параметра Тип источника данных выберите Системный журнал Linux.

8. Для минимального уровня журнала оставьте значения по умолчанию LOG_DEBUG.

9. Выберите Далее: назначение.

10. Выберите "Добавить назначение" и добавьте тип назначения, подписку и учетную запись или пространство имен.

11. Выберите Добавить источник данных. По завершении выберите Next: Отзыв и создание.

12. Нажмите кнопку создания. Подождите 20 минут. В Microsoft Sentinel или Azure Monitor убедитесь, что агент Azure Monitor запущен на виртуальной машине. Ссылка на ссылку

13. Действия по приему данных Netflow в Microsoft sentinel

Чтобы получить данные Netflow в Microsoft sentinel, Filebeat и Logstash необходимо установить и настроить на виртуальной машине. После настройки виртуальная машина сможет получать данные netflow на настроенном порту, а данные будут приниматься в рабочую область Microsoft sentinel.

2.1 Установка filebeat и logstash

1. Сведения об установке filebeat и logstash с помощью apt см. в этом документе:
2. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html.
3. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html.
4. Для установки filebeat и logstash для RedHat на основе Linux (yum) выполните следующие действия:
5. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum.
6. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum

2.2 Настройка Filebeat для отправки событий в Logstash

1. Измените файл filebeat.yml: vi /etc/filebeat/filebeat.yml
2. Закомментируйте раздел "Выходные данные Elasticsearch".
3. Раздел "Распаковка выходных данных Logstash" (раскомментируйте только эти две строки)- output.logstash hosts: ["localhost:5044"]
4. В разделе "Выходные данные Logstash", если вы хотите отправить данные, отличные от порта по умолчанию, т. е. порта 5044, замените номер порта в поле узлов. (Примечание. Этот порт должен быть добавлен в файл conf, при настройке logstash.)
5. В разделе filebeat.inputs закомментируйте существующую конфигурацию и добавьте следующую конфигурацию: тип: netflow max_message_size: 10KiB host: "0.0.0.0:2055" protocols: [ v5, v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions: - /etc/filebeat/custom.yml detect_sequence_reset: true: true
6. В разделе входных данных Filebeat, если вы хотите получить данные, отличные от порта по умолчанию, например порта 2055, замените номер порта в поле узла.
7. Добавьте предоставленный custom.yml файл в каталог /etc/filebeat/.
8. Откройте входной и выходной порт filebeat в брандмауэре.
9. Выполните команду: firewall-cmd --zone=public --permanent --add-port=2055/udp.
10. Выполните команду: firewall-cmd --zone=public --permanent --add-port=5044/udp.

Примечание. Если пользовательский порт добавляется для входных и выходных данных filebeat, откройте этот порт в брандмауэре.

2.3 Настройка Logstash для отправки событий в Microsoft Sentinel

1. Установите подключаемый модуль Azure Log Analytics:
2. Выполните команду: sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
3. Сохраните ключ рабочей области Log Analytics в хранилище ключей Logstash. Ключ рабочей области можно найти на портале Azure в разделе "Выбор рабочей области > > Log Analytic" в разделе Параметры выбрать > инструкции агента Log Analytics агента.
4. Скопируйте первичный ключ и выполните следующие команды:
5. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
6. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
7. Создайте файл конфигурации /etc/logstash/cisco-netflow-to-sentinel.conf: input { beats { port =>port_number #(Ввод номера выходного порта, который был настроен во время конфигурации filebeat, т. е. filebeat.yml file .) } output { microsoft-logstash-output-azure-loganalytics { workspace_id = "<workspace_id>" workspace_key =>> "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } }><

Примечание. Если таблица отсутствует в Microsoft sentinel, она создаст новую таблицу в sentinel.

2.4 Run Filebeat:

1. Откройте терминал и выполните команду:

systemctl start filebeat

2. Эта команда запустит запуск файла в фоновом режиме. Чтобы просмотреть журналы, остановите файловый код (systemctl stop filebeat) и выполните следующую команду:

filebeat run -e

2.5 Запуск Logstash:

1. В другом терминале выполните команду:

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &

2. Эта команда запустит запуск logstash в фоновом режиме. Чтобы просмотреть журналы logstash, выполните следующую команду:

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.