Dela via

Ubiquiti UniFi-anslutningsprogram (med Azure Functions) för Microsoft Sentinel

  • Artikel

Ubiquiti UniFi-dataanslutningsappen ger möjlighet att mata in Ubiquiti UniFi-brandväggen, dns, ssh och AP-händelser i Microsoft Sentinel.

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslut ellerattribut

Anslut ellerattribut beskrivning
Log Analytics-tabeller Ubiquiti_CL
Stöd för regler för datainsamling Stöds för närvarande inte
Stöds av Microsoft Corporation

Exempel på frågor

De 10 främsta klienterna (käll-IP)

UbiquitiAuditEvent

| summarize count() by SrcIpAddr

| top 10 by count_

Installationsanvisningar för leverantör

Kommentar

Den här dataanslutningen är beroende av en parser baserad på en Kusto-funktion för att fungera som förväntat UbiquitiAuditEvent som distribueras med Microsoft Sentinel-lösningen.

Kommentar

Den här dataanslutningsappen har utvecklats med hjälp av Enterprise System Controller Release Version: 5.6.2 (Syslog)

  1. Installera och registrera agenten för Linux eller Windows

Installera agenten på servern som Ubiquiti-loggarna är vidarebefordrare till från Ubiquiti-enheten (t.ex. fjärr-syslog-servern)

Loggar från Ubiquiti Server som distribueras på Linux- eller Windows-servrar samlas in av Linux- eller Windows-agenter.

  1. Konfigurera loggarna som ska samlas in

Följ konfigurationsstegen nedan för att hämta Ubiquiti-loggar till Microsoft Sentinel. Mer information om de här stegen finns i Dokumentation om Azure Monitor .

  1. Konfigurera vidarebefordran av loggar på din Ubiquiti-styrenhet:

    i. Gå till Inställningar > Fjärrloggning av systeminställningskontrollantkonfiguration >> och aktivera loggarna Syslog och felsökning (valfritt) (se användarhandboken för detaljerade instruktioner).

  2. Ladda ned konfigurationsfilen Ubiquiti.conf.

  3. Logga in på servern där du har installerat Azure Log Analytics-agenten.

  4. Kopiera Ubiquiti.conf till mappen /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.

  5. Redigera Ubiquiti.conf på följande sätt:

    i. ange den port som du har angett att Ubiquiti-enheten ska vidarebefordra loggar till (rad 4)

    ii. ersätt workspace_id med det verkliga värdet för ditt arbetsyte-ID (raderna 14,15,16,19)

  6. Spara ändringar och starta om Azure Log Analytics-agenten för Linux-tjänsten med följande kommando: sudo /opt/microsoft/omsagent/bin/service_control starta om

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.