[Inaktuell] Ubiquiti UniFi-anslutningsprogram för Microsoft Sentinel
Viktigt!
Logginsamling från många enheter och enheter stöds nu av Common Event Format (CEF) via AMA, Syslog via AMA eller anpassade loggar via AMA-dataanslutningen i Microsoft Sentinel. Mer information finns i Hitta din Microsoft Sentinel-dataanslutningsapp.
Ubiquiti UniFi-dataanslutningsappen ger möjlighet att mata in Ubiquiti UniFi-brandväggen, dns, ssh och AP-händelser i Microsoft Sentinel.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslutningsattribut
Anslutningsattribut | beskrivning |
---|---|
Log Analytics-tabeller | Ubiquiti_CL |
Stöd för regler för datainsamling | Stöds för närvarande inte |
Stöds av | Microsoft Corporation |
Exempel på frågor
De 10 främsta klienterna (käll-IP)
UbiquitiAuditEvent
| summarize count() by SrcIpAddr
| top 10 by count_
Installationsanvisningar för leverantör
Kommentar
Den här dataanslutningen är beroende av en parser baserad på en Kusto-funktion för att fungera som förväntat UbiquitiAuditEvent som distribueras med Microsoft Sentinel-lösningen.
Kommentar
Den här dataanslutningsappen har utvecklats med hjälp av Enterprise System Controller Release Version: 5.6.2 (Syslog)
- Installera och registrera agenten för Linux eller Windows
Installera agenten på servern som Ubiquiti-loggarna är vidarebefordrare till från Ubiquiti-enheten (t.ex. fjärr-syslog-servern)
Loggar från Ubiquiti Server som distribueras på Linux- eller Windows-servrar samlas in av Linux- eller Windows-agenter.
- Konfigurera loggarna som ska samlas in
Följ konfigurationsstegen nedan för att hämta Ubiquiti-loggar till Microsoft Sentinel. Mer information om de här stegen finns i Dokumentation om Azure Monitor .
Konfigurera vidarebefordran av loggar på din Ubiquiti-styrenhet:
i. Gå till Inställningar > Systeminställning > Styrenhet Konfiguration > Fjärrloggning och aktivera loggarna Syslog och Felsökning (valfritt) (se användarhandboken för detaljerade instruktioner).
Ladda ned konfigurationsfilen Ubiquiti.conf.
Logga in på servern där du har installerat Azure Log Analytics-agenten.
Kopiera Ubiquiti.conf till mappen /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.
Redigera Ubiquiti.conf på följande sätt:
i. ange den port som du har angett att Ubiquiti-enheten ska vidarebefordra loggar till (rad 4)
ii. ersätt workspace_id med det verkliga värdet för ditt arbetsyte-ID (raderna 14,15,16,19)
Spara ändringar och starta om Azure Log Analytics-agenten för Linux-tjänsten med följande kommando: sudo /opt/microsoft/omsagent/bin/service_control starta om
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.