共用方式為

[已淘汰]適用於 Microsoft Sentinel 的 Cisco Meraki 連接器

  • 發行項

重要

許多設備與裝置的記錄收集現在都透過下列項目支援:透過 AMA 的常見事件格式 (CEF)、透過 AMA 的 Syslog,或透過 Microsoft Sentinel 中 AMA 資料連接器的自訂記錄。 如需詳細資訊,請參閱尋找您的 Microsoft Sentinel 資料連接器

Cisco Meraki 連接器可讓您輕鬆地將 Cisco Meraki (MX/MR/MS) 記錄與 Microsoft Sentinel 連線。 這可讓您深入了解組織的網路,並改善安全性作業功能。

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連接器屬性

連接器屬性 描述
記錄分析資料表 meraki_CL
資料收集規則支援 目前不支援
支援者: Microsoft Corporation

查詢範例

事件總計 (依記錄類型)

CiscoMeraki 

| summarize count() by LogType

前 10 大遭封鎖的連線

CiscoMeraki 

| where LogType == "security_event" 

| where Action == "block" 

| summarize count() by SrcIpAddr, DstIpAddr, Action, Disposition 

| top 10 by count_

必要條件

若要與 [已淘汰] Cisco Meraki 整合,請確定您有:

  • Cisco Meraki:必須設定為透過 Syslog 匯出記錄

廠商的安裝指示

注意:此資料連接器取決於以 Kusto 函數為基礎的剖析器,如預期般運作,部署為解決方案的一部分。 若要在 Log Analytics 中檢視函式程式碼,請開啟 Log Analytics/Microsoft Sentinel Logs 刀鋒視窗,按一下 [函式],然後搜尋別名 CiscoMeraki 並載入函式程式碼,或按一下 這裡。 在安裝/更新解決方案之後,函式通常需要 10-15 分鐘才能啟動。

  1. 安裝 Linux 代理程式並將其上線

在一般情況下,建議您將代理程式安裝在其他電腦上,而非在產生記錄用的電腦上。

Syslog 記錄只會從 Linux 代理程式收集。

  1. 設定要收集的記錄

請遵循下列設定步驟,將 Cisco Meraki 裝置記錄存入 Microsoft Sentinel。 如需這些步驟的詳細資訊,請參閱 Azure 監視器文件。 對於 Cisco Meraki 記錄,我們在使用預設設定剖析 OMS 代理程式資料時發生問題。 因此,建議您使用下列指示,將記錄擷取至自訂資料表 meraki_CL

  1. 登入已安裝 OMS 代理程式的伺服器。

  2. 下載組態檔 meraki.conf wget -v https://aka.ms/sentinel-ciscomerakioms-conf -O meraki.conf

  3. 將 meraki.conf 複製到 /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ 資料夾。 cp meraki.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/

  4. 編輯 meraki.conf,如下所示:

    a. meraki.conf 預設使用連接埠 22033。 請確定此連接埠並未由伺服器上的任何其他來源所使用

    b. 如果您想要變更 meraki.conf 的預設連接埠,請確定您未使用預設 Azure 監視 / Log Analytic 代理程式連接埠 (例如 CEF 使用 TCP 連接埠 2522625224)

    c. 將 workspace_id 取代為工作區識別碼的實際值 (第 14、15、16、19 行)

  5. 使用下列命令儲存變更並重新啟動適用於 Linux 的 Azure Log Analytics 代理程式:sudo /opt/microsoft/omsagent/bin/service_control restart

  6. 修改 /etc/rsyslog.conf 檔案 - 最好在開頭 / 指示詞區段之前新增下列範本 $template meraki,"%timestamp% %hostname% %msg%\n"

  7. 在 /etc/rsyslog.d/ 中建立自訂組態檔,例如 10-meraki.conf 並新增下列篩選條件。

    使用新增的陳述式,您需要建立篩選條件,以指定要轉送至自訂資料表的 Cisco Meraki 記錄。

    參考:篩選條件 — rsyslog 8.18.0.master 文件

    以下是可定義的篩選範例,這並不完整,而且需要針對每個安裝進行額外的測試。 如果$rawmsg包含“flow”,則 @@127.0.0.1:22033;meraki & stop if $rawmsg contains “firewall” then @@127.0.0.1:22033;meraki & stop if $rawmsg contains “urls” then @@127.0.0.1:22033;meraki & stop if $rawmsg contains-alerts“ then @@127.0.0.1:22033;meraki & stop if $rawmsg contains “events” then @@127.0.0.1:22033;meraki & stop if $rawmsg contains “ip_flow_start” then @@127.0.0.1:22033;meraki & stop if $rawmsg contains “ip_flow_end” then @@127.0.0.1:22033;梅拉基和停止

  8. 重新啟動 rsyslog systemctl restart rsyslog

  9. 設定並連線到 Cisco Meraki 裝置

請依照下列指示將 Cisco meraki.conf 裝置設定為轉寄 syslog。 使用 Linux 裝置的 IP 位址或主機名稱,並將 Linux 代理程式安裝為目的地 IP 位址。

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。