Ubiquiti UniFi-anslutningsprogram (med Azure Functions) för Microsoft Sentinel
Ubiquiti UniFi-dataanslutningsappen ger möjlighet att mata in Ubiquiti UniFi-brandväggen, dns, ssh och AP-händelser i Microsoft Sentinel.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslut ellerattribut
Anslut ellerattribut | beskrivning |
---|---|
Log Analytics-tabeller | Ubiquiti_CL |
Stöd för regler för datainsamling | Stöds för närvarande inte |
Stöds av | Microsoft Corporation |
Exempel på frågor
De 10 främsta klienterna (käll-IP)
UbiquitiAuditEvent
| summarize count() by SrcIpAddr
| top 10 by count_
Installationsanvisningar för leverantör
Kommentar
Den här dataanslutningen är beroende av en parser baserad på en Kusto-funktion för att fungera som förväntat UbiquitiAuditEvent som distribueras med Microsoft Sentinel-lösningen.
Kommentar
Den här dataanslutningsappen har utvecklats med hjälp av Enterprise System Controller Release Version: 5.6.2 (Syslog)
- Installera och registrera agenten för Linux eller Windows
Installera agenten på servern som Ubiquiti-loggarna är vidarebefordrare till från Ubiquiti-enheten (t.ex. fjärr-syslog-servern)
Loggar från Ubiquiti Server som distribueras på Linux- eller Windows-servrar samlas in av Linux- eller Windows-agenter.
- Konfigurera loggarna som ska samlas in
Följ konfigurationsstegen nedan för att hämta Ubiquiti-loggar till Microsoft Sentinel. Mer information om de här stegen finns i Dokumentation om Azure Monitor .
Konfigurera vidarebefordran av loggar på din Ubiquiti-styrenhet:
i. Gå till Inställningar > Fjärrloggning av systeminställningskontrollantkonfiguration >> och aktivera loggarna Syslog och felsökning (valfritt) (se användarhandboken för detaljerade instruktioner).
Ladda ned konfigurationsfilen Ubiquiti.conf.
Logga in på servern där du har installerat Azure Log Analytics-agenten.
Kopiera Ubiquiti.conf till mappen /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.
Redigera Ubiquiti.conf på följande sätt:
i. ange den port som du har angett att Ubiquiti-enheten ska vidarebefordra loggar till (rad 4)
ii. ersätt workspace_id med det verkliga värdet för ditt arbetsyte-ID (raderna 14,15,16,19)
Spara ändringar och starta om Azure Log Analytics-agenten för Linux-tjänsten med följande kommando: sudo /opt/microsoft/omsagent/bin/service_control starta om
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.