適用於 Microsoft Sentinel 的 Cisco Meraki 連接器

  • 發行項

Cisco Meraki 連接器可讓您輕鬆地將 Cisco Meraki (MX/MR/MS) 記錄與 Microsoft Sentinel 連線。 這可讓您深入瞭解組織的網路,並改善安全性作業功能。

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連線 or 屬性

連線 or 屬性 描述
Log Analytics 數據表(s) meraki_CL
數據收集規則支援 目前不支援
支援者: Microsoft Corporation

查詢範例

依記錄類型排序的事件總數

CiscoMeraki 

| summarize count() by LogType

前10個封鎖 連線

CiscoMeraki 

| where LogType == "security_event" 

| where Action == "block" 

| summarize count() by SrcIpAddr, DstIpAddr, Action, Disposition 

| top 10 by count_

必要條件

若要與 Cisco Meraki 整合,請確定您有:

  • Cisco Meraki:必須設定為透過 Syslog 導出記錄

廠商安裝指示

注意: 此數據連接器取決於以 Kusto 函式為基礎的剖析器,以如預期般運作,這會部署為解決方案的一部分。 若要在 Log Analytics 中檢視函式程式代碼,請開啟 Log Analytics/Microsoft Sentinel Logs 刀鋒視窗,按兩下 [函式],然後搜尋別名 CiscoMeraki 並載入函式程式代碼,或按兩下 這裡。 在解決方案安裝/更新之後,函式通常需要 10-15 分鐘才能啟動。

  1. 安裝並上線適用於Linux的代理程式

在一般情況下,建議您將代理程式安裝在其他電腦上,而非在產生記錄用的電腦上。

Syslog 記錄只會從 Linux 代理程式收集。

  1. 設定要收集的記錄

請遵循下列設定步驟,取得 Cisco Meraki 裝置記錄到 Microsoft Sentinel。 如需這些步驟的詳細資訊, 請參閱 Azure 監視器檔 。 對於 Cisco Meraki 記錄,我們在使用預設設定剖析 OMS 代理程式數據時發生問題。 因此,我們建議使用下列指示,將記錄擷取至自定義數據表 meraki_CL

  1. 登入已安裝 OMS 代理程式的伺服器。

  2. 下載配置檔 meraki.conf wget -v https://aka.ms/sentinel-ciscomerakioms-conf -O meraki.conf

  3. 將 meraki.conf 複製到 /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ 資料夾。 cp meraki.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/

  4. 編輯 meraki.conf,如下所示:

    a. meraki.conf 預設會使用埠 22033 。 請確定伺服器上任何其他來源未使用此埠

    b. 如果您想要變更 meraki.conf 的預設埠,請確定您未使用預設的 Azure 監視 /Log Analytic 代理程式埠,例如 CEF 使用 TCP 連接埠 2522625224

    c. 以工作區標識符的實際值取代 workspace_id (第 14,15,16,19 行)

  5. 使用下列命令儲存變更並重新啟動適用於Linux的 Azure Log Analytics 代理程式服務:sudo /opt/microsoft/omsagent/bin/service_control重新啟動

  6. 修改 /etc/rsyslog.conf 檔案 - 最好在開頭 /before 指示詞區段新增下列範本,$template meraki,“%timestamp% %hostname% %msg%\n”

  7. 在 /etc/rsyslog.d/ 中建立自定義 conf 檔案,例如 10-meraki.conf,並新增下列篩選條件。

    使用新增的語句,您將需要建立篩選,以指定要轉送至自定義數據表的 Cisco Meraki 記錄。

    參考: 篩選條件 - rsyslog 8.18.0.master 檔

    以下是可定義的篩選範例,這並不完整,而且需要針對每個安裝進行額外的測試。 如果$rawmsg包含“flow”,則 @@127.0.0.1:22033;meraki & stop if $rawmsg contains “urls” then @@127.0.0.1:22033;meraki & stop if $rawmsg contains-alerts“ then @@127.0.0.1:22033;meraki & stop if $rawmsg contains “events” then @@127.0.0.1:22033;meraki & stop if $rawmsg contains “ip_flow_start” then @@127.0.0.1:22033;meraki & stop if $rawmsg contains “ip_flow_end” then @@127.0.0.1:22033;梅拉基和停止

  8. 重新啟動 rsyslog systemctl restart rsyslog

  9. 設定並連線 Cisco Meraki 裝置(s)

請遵循這些指示 ,將 Cisco Meraki 裝置設定為轉寄 syslog。 使用 Linux 裝置的 IP 位址或主機名,並將 Linux 代理程式安裝為目的地 IP 位址。

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案