Соединитель Ubiquiti UniFi (с помощью Функции Azure) для Microsoft Sentinel
Соединитель данных Ubiquiti UniFi предоставляет возможность приема брандмауэра Ubiquiti UniFi, dns, ssh, событий AP в Microsoft Sentinel.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | Ubiquiti_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
Первые 10 клиентов (исходный IP-адрес)
UbiquitiAuditEvent
| summarize count() by SrcIpAddr
| top 10 by count_
Инструкции по установке поставщика
Примечание.
Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto для работы, как ожидалось , UbiquitiAuditEvent , развернутой с помощью решения Microsoft Sentinel.
Примечание.
Этот соединитель данных разработан с помощью выпуска корпоративного контроллера системы: 5.6.2 (Syslog)
- Установка и подключение агента для Linux или Windows
Установите агент на сервере, на котором журналы Ubiquiti перенаправляются с устройства Ubiquiti (например, удаленный сервер системного журнала)
Журналы из Ubiquiti Server, развернутые на серверах Linux или Windows, собираются агентами Linux или Windows .
- Настройка журналов для сбора
Выполните приведенные ниже действия по настройке, чтобы получить журналы Ubiquiti в Microsoft Sentinel. Дополнительные сведения об этих шагах см. в документации по Azure Monitor.
Настройте перенаправление журналов на контроллере Ubiquiti:
i. Перейдите к Параметры > удаленному ведению журнала конфигурации контроллера параметров > системы > и включите журналы системного журнала и отладки (необязательно) (см. руководство пользователя для получения подробных инструкций).
Скачайте файл конфигурации Ubiquiti.conf.
Войдите на сервер, на котором установлен агент Azure Log Analytics.
Скопируйте Ubiquiti.conf в папку /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.
Измените Ubiquiti.conf следующим образом:
i. укажите порт, на который настроено устройство Ubiquiti для пересылки журналов (строка 4)
ii. замените workspace_id реальным значением идентификатора рабочей области (строки 14 15 16 19)
Сохраните изменения и перезапустите агент Azure Log Analytics для службы Linux с помощью следующей команды: sudo /opt/microsoft/omsagent/bin/service_control перезапуск
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.