Microsoft Sentinel için VMware vCenter bağlayıcısı
vCenter bağlayıcısı, vCenter sunucu günlüklerinizi Microsoft Sentinel ile kolayca bağlamanıza olanak tanır. Bu, kuruluşunuzun veri merkezleri hakkında daha fazla içgörü sağlar ve güvenlik işlemi özelliklerinizi geliştirir.
Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.
Bağlan or öznitelikleri
Bağlan or özniteliği | Açıklama |
---|---|
Log Analytics tabloları | vcenter_CL |
Veri toplama kuralları desteği | Şu anda desteklenmiyor |
Destekleyen: | Microsoft Corporation |
Sorgu örnekleri
Olay Türüne Göre Toplam Olay Sayısı
vCenter
| summarize count() by EventType
vCenter Server'da oturum açma/kapatma
vCenter
| where EventType in ('UserLogoutSessionEvent','UserLoginSessionEvent')
| summarize count() by EventType,EventID,UserName,UserAgent
| top 10 by count_
Önkoşullar
VMware vCenter ile tümleştirmek için aşağıdakilere sahip olduğunuzdan emin olun:
- Bağlantı gerektiriyorsa özel önkoşullar ekleyin - aksi takdirde gümrükleri silin: Herhangi bir özel önkoşul için açıklama
Satıcı yükleme yönergeleri
NOT: Bu veri bağlayıcısı, çözümün bir parçası olarak dağıtılan kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. İşlev kodunu Log Analytics'te görüntülemek için Log Analytics/Microsoft Sentinel Günlükleri dikey penceresini açın, İşlevler'e tıklayın ve VMware vCenter diğer adını arayın ve işlev kodunu yükleyin veya buraya tıklayın; sorgunun ikinci satırında VMware vCenter cihazlarınızın konak adlarını ve günlük akışının diğer benzersiz tanımlayıcılarını girin. Çözümün yüklenmesi/güncelleştirildikten sonra işlevin etkinleştirilmesi genellikle 10-15 dakika sürer.
vCenter çözümünü ContentHub'dan yüklemediyseniz Kusto işlev diğer adı olan vCenter'ı kullanma adımlarını izleyin
Linux için aracıyı yükleme ve ekleme
Genellikle aracıyı, günlüklerin oluşturulduğu bilgisayardan farklı bir bilgisayara yüklemeniz gerekir.
Syslog günlükleri yalnızca Linux aracılarından toplanır.
Toplanacak günlükleri yapılandırma
Microsoft Sentinel'de vCenter sunucu günlüklerini almak için aşağıdaki yapılandırma adımlarını izleyin. Bu adımlarla ilgili diğer ayrıntılar için Azure İzleyici Belgeleri'ne bakın. vCenter Server günlükleri için, varsayılan ayarları kullanarak verileri OMS aracı verilerine göre ayrıştırırken sorunlarla karşılaşıyoruz. Bu nedenle aşağıdaki yönergeleri kullanarak günlükleri özel tablo vcenter_CL yakalamayı öneririz.
OMS aracısını yüklediğiniz sunucuda oturum açın.
vCenter.conf wget -v https://aka.ms/sentinel-vcenteroms-conf -O vcenter.conf yapılandırma dosyasını indirin
vcenter.conf dosyasını /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ klasörüne kopyalayın. cp vcenter.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/
vcenter.conf dosyasını aşağıdaki gibi düzenleyin:
a. vcenter.conf varsayılan olarak 22033 numaralı bağlantı noktasını kullanır. Bu bağlantı noktasının sunucunuzdaki başka bir kaynak tarafından kullanılmadığından emin olun
b. vcenter.conf için varsayılan bağlantı noktasını değiştirmek istiyorsanız varsayılan Azure monotoring /log analytics aracısı bağlantı noktalarını kullanmadığınızdan emin olun(Örneğin CEF 25226 veya 25224 NUMARALı TCP bağlantı noktasını kullanır)
c. workspace_id çalışma alanı kimliğinizin gerçek değeriyle değiştirin (satır 13.14.15.18)
Aşağıdaki komutla değişiklikleri kaydedin ve Linux hizmeti için Azure Log Analytics aracısını yeniden başlatın: sudo /opt/microsoft/omsagent/bin/service_control yeniden başlatma
/etc/rsyslog.conf dosyasını değiştirme - Aşağıdaki şablonu tercihen yönergelerin başına / öncesine ekleyin
$template vcenter,"%timestamp% %hostname% %msg%\ n"
Not - Yukarıdaki komutta eğik çizgi (\) ile 'n' karakteri arasında boşluk yoktur.
/etc/rsyslog.d/ içinde 10-vcenter.conf gibi özel bir conf dosyası oluşturun ve aşağıdaki filtre koşullarını ekleyin.
10-vCenter.conf yapılandırma dosyasını indirin
Eklenen bir deyimle, özel tabloya iletilecek vcenter sunucusundan gelen günlükleri belirten bir filtre oluşturmanız gerekir.
başvuru: Filtre Koşulları — rsyslog 8.18.0.master belgeleri
Burada tanımlanabilir bir filtreleme örneği verilmiştir, bu tamamlanmaz ve her yükleme için ek test gerektirir.
if $rawmsg contains "vcenter-server" then @@127.0.0.1:22033;vcenter & stop if $rawmsg contains "vpxd" then @@127.0.0.1:22033;vcenter & stop
Yeniden başlatma rsyslog systemctl restart rsyslog
vCenter cihazlarını yapılandırma ve bağlama
vCenter'ı syslog'u iletecek şekilde yapılandırmak için bu yönergeleri izleyin. Hedef IP adresi olarak Linux aracısının yüklü olduğu Linux cihazı için IP adresini veya ana bilgisayar adını kullanın.
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin