Microsoft Sentinel için Cisco Yazılım Tanımlı WAN bağlayıcısı

  • Makale

Cisco Yazılım Tanımlı WAN (SD-WAN) veri bağlayıcısı, Cisco SD-WAN Syslog ve Netflow verilerini Microsoft Sentinel'e alma özelliği sağlar.

Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.

Bağlan or öznitelikleri

Bağlan or özniteliği Açıklama
Kusto işlev diğer adı CiscoSyslogUTD
Kusto işlev url'si https://aka.ms/sentinel-CiscoSyslogUTD-parser
Log Analytics tabloları Syslog
CiscoSDWANNetflow_CL
Veri toplama kuralları desteği Çalışma alanı dönüştürme DCR
Destekleyen: Cisco Systems

Sorgu örnekleri

Syslog Olayları - Tüm Syslog Olayları.

Syslog

| sort by TimeGenerated desc

Cisco SD-WAN Netflow Olayları - Tüm Netflow Olayları.

CiscoSDWANNetflow_CL

| sort by TimeGenerated desc

Satıcı yükleme yönergeleri

Cisco SD-WAN Syslog ve Netflow verilerini Microsoft Sentinel'e almak için aşağıdaki adımları izleyin.

  1. Syslog verilerini Microsoft sentinel'e alma adımları

Azure İzleyici Aracısı, syslog verilerini Microsoft sentinel'e toplamak için kullanılacaktır. Bunun için ilk olarak syslog verilerinin gönderileceği VM için bir Azure Arc sunucusu oluşturmanız gerekir.

1.1 Azure Arc Server Ekleme Adımları

  1. Azure portalında Sunucular - Azure Arc'a gidin ve Ekle'ye tıklayın.
  2. Tek sunucu ekle bölümünde Betik Oluştur'a tıklayın. Bir Kullanıcı, Birden Çok Sunucu için de betikler oluşturabilir.
  3. Önkoşullar sayfasındaki bilgileri gözden geçirin ve İleri'yi seçin.
  4. Kaynak ayrıntıları sayfasında Microsoft Sentinel, Bölge, İşletim sistemi ve Bağlan ivity yönteminin aboneliğini ve kaynak grubunu sağlayın. Sonra İleri'yi seçin.
  5. Etiketler sayfasında, önerilen varsayılan Fiziksel konum etiketlerini gözden geçirin ve bir değer girin veya standartlarınızı desteklemek için bir veya daha fazla Özel etiket belirtin. Ardından İleri'yi seçin
  6. Betik dosyasını kaydetmek için İndir'i seçin.
  7. Betiği oluşturduğunuza göre, sonraki adım bunu Azure Arc'a eklemek istediğiniz sunucuda çalıştırmaktır.
  8. Azure VM'niz varsa betiği çalıştırmadan önce bağlantıda belirtilen adımları izleyin.
  9. Betiği aşağıdaki komutla çalıştırın: ./<ScriptName>.sh
  10. Aracıyı yükledikten ve Azure Arc özellikli sunuculara bağlanacak şekilde yapılandırdıktan sonra, sunucunun başarıyla bağlandığını doğrulamak için Azure portalına gidin. Makinenizi Azure portalında görüntüleyin. Başvuru bağlantısı

1.2 Veri Toplama Kuralı Oluşturma Adımları (DCR)

  1. Azure Portal'da İzleyici için arama yapın. Ayarlar altında Veri Toplama Kuralları'nın ve Ardından Oluştur'u seçin.

  2. Temel Bilgiler panelinde Kural Adı, Abonelik, Kaynak grubu, Bölge ve Platform Türü girin.

  3. İleri: Kaynaklar'ı seçin.

  4. Kaynak ekle'yi seçin. Günlükleri toplamak için kullanacağınız sanal makineyi bulmak için filtreleri kullanın.

  5. Sanal makineyi seçin. Uygula’yı seçin.

  6. İleri: Topla ve teslim'i seçin.

  7. Veri Kaynağı ekle'yi seçin. Veri kaynağı türü için Linux syslog öğesini seçin.

  8. En düşük günlük düzeyi için varsayılan değerleri LOG_DEBUG bırakın.

  9. İleri: Hedef'i seçin.

  10. Hedef ekle'yi seçin ve Hedef türü, Abonelik ve Hesap veya ad alanı ekleyin.

  11. Veri Kaynağı ekle'yi seçin. Sonraki: Gözden geçirme ve oluşturma’yı seçin.

  12. Oluştur'u belirleyin. 20 dakika bekleyin. Microsoft Sentinel veya Azure İzleyici'de Azure İzleyici aracısının VM'nizde çalıştığını doğrulayın. Başvuru bağlantısı

  13. Netflow verilerini Microsoft sentinel'e alma adımları

Netflow verilerini Microsoft sentinel'e almak için Filebeat ve Logstash'in VM'ye yüklenmesi ve yapılandırılması gerekir. Yapılandırmadan sonra vm, yapılandırılan bağlantı noktasında netflow verilerini alabilir ve bu veriler Microsoft sentinel çalışma alanına alınır.

2.1 Filebeat ve logstash yükleme

  1. apt kullanarak filebeat ve logstash yüklemesi için şu belgeyi arayın:
  2. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html.
  3. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html.
  4. RedHat tabanlı Linux (yum) için filebeat ve logstash yükleme adımları aşağıdaki gibidir:
  5. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum.
  6. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum

2.2 Logstash'a olay göndermek için Filebeat'i yapılandırma

  1. filebeat.yml dosyasını düzenle: vi /etc/filebeat/filebeat.yml
  2. Elasticsearch Çıktısı bölümüne açıklama ekleyin.
  3. Logstash Çıkış bölümünü açıklamayı kaldırma (Yalnızca şu iki satırı açıklamayı kaldırın)- output.logstash konakları: ["localhost:5044"]
  4. Logstash Çıkışı bölümünde, varsayılan bağlantı noktası olan 5044 bağlantı noktası dışındaki verileri göndermek istiyorsanız konaklar alanındaki bağlantı noktası numarasını değiştirin. (Not: Bu bağlantı noktası, logstash yapılandırırken conf dosyasına eklenmelidir.)
  5. 'filebeat.inputs' bölümünde mevcut yapılandırmayı açıklama satırı yapın ve şu yapılandırmayı ekleyin: - type: netflow max_message_size: 10KiB konağı: "0.0.0.0:2055" protokolleri: [ v5, v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions: - /etc/filebeat/custom.yml detect_sequence_reset: true enabled: true
  6. Filebeat girişleri bölümünde, varsayılan bağlantı noktası olan 2055 bağlantı noktası dışındaki verileri almak istiyorsanız, konak alanındaki bağlantı noktası numarasını değiştirin.
  7. Sağlanan custom.yml dosyasını /etc/filebeat/ dizinine ekleyin.
  8. Güvenlik duvarında filebeat giriş ve çıkış bağlantı noktasını açın.
  9. Çalıştır komutu: firewall-cmd --zone=public --permanent --add-port=2055/udp
  10. Çalıştır komutu: firewall-cmd --zone=public --permanent --add-port=5044/udp

Not: Filebeat girişi/çıkışı için özel bir bağlantı noktası eklenirse, bu bağlantı noktasını güvenlik duvarında açın.

2.3 Logstash'i Olayları Microsoft Sentinel'e gönderecek şekilde yapılandırma

  1. Azure Log Analytics eklentisini yükleyin:
  2. Komutu Çalıştır: sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
  3. Log Analytics çalışma alanı anahtarını Logstash anahtar deposunda depolayın. Çalışma alanı anahtarı, Azure Portal'da Log Analytics çalışma alanı > seç > altında bulunabilir Ayarlar Aracı > Log Analytics aracısı yönergeleri'ni seçin.
  4. Birincil anahtarı kopyalayın ve aşağıdaki komutları çalıştırın:
  5. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
  6. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
  7. /etc/logstash/cisco-netflow-to-sentinel.conf: input { beats { port =><port_number> #(Filebeat yapılandırması sırasında yapılandırılan çıkış bağlantı noktası numarasını girin. filebeat.yml dosyası .) } } output { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } }

Not: Microsoft sentinel'de tablo yoksa sentinel'de yeni bir tablo oluşturur.

2.4 Run Filebeat:

  1. Bir terminal açın ve komutunu çalıştırın:

systemctl start filebeat

  1. Bu komut arka planda filebeat çalıştırmaya başlar. Günlükleri görmek için filebeat 'ı (systemctl stop filebeat) durdurun ve aşağıdaki komutu çalıştırın:

filebeat run -e

2.5 Logstash'ı çalıştırın:

  1. Başka bir terminalde komutunu çalıştırın:

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &

  1. Bu komut logstash'ı arka planda çalıştırmaya başlar. logstash günlüklerini görmek için yukarıdaki işlemi sonlandırın ve aşağıdaki komutu çalıştırın:

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.