Cisco Software Defined WAN-anslutningsprogram för Microsoft Sentinel

  • Artikel

Cisco Software Defined WAN-dataanslutningsappen (SD-WAN) ger möjlighet att mata in Cisco SD-WAN Syslog- och Netflow-data i Microsoft Sentinel.

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslut ellerattribut

Anslut ellerattribut beskrivning
Kusto-funktionsalias CiscoSyslogUTD
Kusto-funktions-URL https://aka.ms/sentinel-CiscoSyslogUTD-parser
Log Analytics-tabeller Syslog
CiscoSDWANNetflow_CL
Stöd för regler för datainsamling DcR för arbetsytetransformering
Stöds av Cisco Systems

Exempel på frågor

Syslog-händelser – alla Syslog-händelser.

Syslog

| sort by TimeGenerated desc

Cisco SD-WAN Netflow-händelser – alla Netflow-händelser.

CiscoSDWANNetflow_CL

| sort by TimeGenerated desc

Installationsanvisningar för leverantör

Om du vill mata in Cisco SD-WAN Syslog- och Netflow-data i Microsoft Sentinel följer du stegen nedan.

  1. Steg för att mata in Syslog-data till Microsoft Sentinel

Azure Monitor-agenten används för att samla in syslog-data till Microsoft Sentinel. För det första måste du skapa en Azure Arc-server för den virtuella dator som syslog-data ska skickas från.

1.1 Steg för att lägga till Azure Arc Server

  1. I Azure-portalen går du till Servrar – Azure Arc och klickar på Lägg till.
  2. Välj Generera skript under Avsnittet Lägg till en enskild server. En användare kan också generera skript för flera servrar.
  3. Granska informationen på sidan Förutsättningar och välj sedan Nästa.
  4. På sidan Resursinformation anger du prenumerationen och resursgruppen för metoden Microsoft Sentinel, Region, Operativsystem och Anslut ivity. Välj sedan Nästa.
  5. På sidan Taggar granskar du de föreslagna standardtaggarna för fysisk plats och anger ett värde, eller anger en eller flera anpassade taggar som stöder dina standarder. Välj sedan Nästa
  6. Välj Ladda ned för att spara skriptfilen.
  7. Nu när du har genererat skriptet är nästa steg att köra det på den server som du vill registrera till Azure Arc.
  8. Om du har en virtuell Azure-dator följer du stegen som anges i länken innan du kör skriptet.
  9. Kör skriptet med följande kommando: ./<ScriptName>.sh
  10. När du har installerat agenten och konfigurerat den för att ansluta till Azure Arc-aktiverade servrar går du till Azure-portalen för att kontrollera att servern har anslutits. Visa datorn i Azure-portalen. Referenslänk

1.2 Steg för att skapa datainsamlingsregel (DCR)

  1. Sök efter Monitor i Azure Portal. Under Inställningar väljer du Regler för datainsamling och Välj Skapa.

  2. På panelen Grundläggande anger du regelnamn, prenumeration, resursgrupp, region och plattformstyp.

  3. Välj Nästa: Resurser.

  4. Välj Lägg till resurser. Använd filtren för att hitta den virtuella dator som du ska använda för att samla in loggar.

  5. Välj den virtuella datorn. Välj Använd.

  6. Välj Nästa: Samla in och leverera.

  7. Välj Lägg till datakälla. För Typ av datakälla väljer du Linux-syslog.

  8. För Lägsta loggnivå lämnar du standardvärdena LOG_DEBUG.

  9. Välj Nästa: Mål.

  10. Välj Lägg till mål och lägg till Måltyp, Prenumeration och Konto eller namnområde.

  11. Välj Lägg till datakälla. Välj Nästa: Granska + skapa.

  12. Välj Skapa. Vänta i 20 minuter. I Microsoft Sentinel eller Azure Monitor kontrollerar du att Azure Monitor-agenten körs på den virtuella datorn. Referenslänk

  13. Steg för att mata in Netflow-data till Microsoft Sentinel

För att mata in Netflow-data i Microsoft Sentinel måste Filebeat och Logstash installeras och konfigureras på den virtuella datorn. Efter konfigurationen kan den virtuella datorn ta emot netflow-data på den konfigurerade porten och dessa data matas in på arbetsytan för Microsoft Sentinel.

2.1 Installera filebeat och logstash

  1. För installation av filebeat och logstash med hjälp av apt, se det här dokumentet:
  2. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html.
  3. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html.
  4. För installation av filebeat och logstash för RedHat-baserade Linux -steg (yum) är följande:
  5. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum.
  6. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum

2.2 Konfigurera Filebeat för att skicka händelser till Logstash

  1. Redigera filebeat.yml fil: vi /etc/filebeat/filebeat.yml
  2. Kommentera ut avsnittet Elasticsearch-utdata.
  3. Avsnittet Logstash-utdata för avkommentera (avkommentera endast dessa två rader)- output.logstash-värdar: ["localhost:5044"]
  4. I avsnittet Logstash-utdata ersätter du portnumret i fältet värdar om du vill skicka andra data än standardporten, t.ex. 5044-porten. (Obs! Den här porten bör läggas till i konfigurationsfilen medan logstash konfigureras.)
  5. I avsnittet "filebeat.inputs" kommenterar du ut den befintliga konfigurationen och lägger till följande konfiguration: - typ: netflow max_message_size: 10KiB-värd: "0.0.0.0:2055"-protokoll: [ v5, v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions: - /etc/filebeat/custom.yml detect_sequence_reset: true enabled: true
  6. I avsnittet Filebeat-indata ersätter du portnumret i värdfältet om du vill ta emot andra data än standardporten, t.ex. 2055-porten.
  7. Lägg till den angivna custom.yml filen i katalogen /etc/filebeat/.
  8. Öppna in- och utdataporten filebeat i brandväggen.
  9. Kör kommando: firewall-cmd --zone=public --permanent --add-port=2055/udp
  10. Kör kommando: firewall-cmd --zone=public --permanent --add-port=5044/udp

Obs! Om en anpassad port läggs till för filebeat-indata/utdata öppnar du porten i brandväggen.

2.3 Konfigurera Logstash för att skicka händelser till Microsoft Sentinel

  1. Installera Azure Log Analytics-plugin-programmet:
  2. Kör kommando: sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
  3. Lagra Log Analytics-arbetsytenyckeln i Logstash-nyckelarkivet. Du hittar arbetsytenyckeln i Azure-portalen under Log analytic workspace > Select workspace (Välj arbetsyta > under Inställningar välj Agent > Log Analytics-agentinstruktioner).
  4. Kopiera primärnyckeln och kör följande kommandon:
  5. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
  6. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
  7. Skapa konfigurationsfilen /etc/logstash/cisco-netflow-to-sentinel.conf: input { beats { port =><port_number> #(Ange utdataportnummer som har konfigurerats under filebeat-konfigurationen, d.v.s. filebeat.yml fil .) } } utdata { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } } }

Obs! Om tabellen inte finns i Microsoft Sentinel skapas en ny tabell i Sentinel.

2.4 Kör Filebeat:

  1. Öppna en terminal och kör kommandot:

systemctl start filebeat

  1. Det här kommandot börjar köra filebeat i bakgrunden. Om du vill se loggarna stoppa filebeat (systemctl stop filebeat) kör du sedan följande kommando:

filebeat run -e

2.5 Kör Logstash:

  1. Kör kommandot i en annan terminal:

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &

  1. Det här kommandot börjar köra logstash i bakgrunden. Om du vill se loggarna för logstash avsluta ovanstående process och köra följande kommando :

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.