適用於 Microsoft Sentinel 的 Cisco Meraki 連接器
Cisco Meraki 連接器可讓您輕鬆地將 Cisco Meraki (MX/MR/MS) 記錄與 Microsoft Sentinel 連線。 這可讓您深入瞭解組織的網路,並改善安全性作業功能。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
連線 or 屬性 | 描述 |
---|---|
Log Analytics 數據表(s) | meraki_CL |
數據收集規則支援 | 目前不支援 |
支援者: | Microsoft Corporation |
查詢範例
依記錄類型排序的事件總數
CiscoMeraki
| summarize count() by LogType
前10個封鎖 連線
CiscoMeraki
| where LogType == "security_event"
| where Action == "block"
| summarize count() by SrcIpAddr, DstIpAddr, Action, Disposition
| top 10 by count_
必要條件
若要與 Cisco Meraki 整合,請確定您有:
- Cisco Meraki:必須設定為透過 Syslog 導出記錄
廠商安裝指示
注意: 此數據連接器取決於以 Kusto 函式為基礎的剖析器,以如預期般運作,這會部署為解決方案的一部分。 若要在 Log Analytics 中檢視函式程式代碼,請開啟 Log Analytics/Microsoft Sentinel Logs 刀鋒視窗,按兩下 [函式],然後搜尋別名 CiscoMeraki 並載入函式程式代碼,或按兩下 這裡。 在解決方案安裝/更新之後,函式通常需要 10-15 分鐘才能啟動。
- 安裝並上線適用於Linux的代理程式
在一般情況下,建議您將代理程式安裝在其他電腦上,而非在產生記錄用的電腦上。
Syslog 記錄只會從 Linux 代理程式收集。
- 設定要收集的記錄
請遵循下列設定步驟,取得 Cisco Meraki 裝置記錄到 Microsoft Sentinel。 如需這些步驟的詳細資訊, 請參閱 Azure 監視器檔 。 對於 Cisco Meraki 記錄,我們在使用預設設定剖析 OMS 代理程式數據時發生問題。 因此,我們建議使用下列指示,將記錄擷取至自定義數據表 meraki_CL 。
登入已安裝 OMS 代理程式的伺服器。
下載配置檔 meraki.conf wget -v https://aka.ms/sentinel-ciscomerakioms-conf -O meraki.conf
將 meraki.conf 複製到 /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ 資料夾。 cp meraki.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/
編輯 meraki.conf,如下所示:
a. meraki.conf 預設會使用埠 22033 。 請確定伺服器上任何其他來源未使用此埠
b. 如果您想要變更 meraki.conf 的預設埠,請確定您未使用預設的 Azure 監視 /Log Analytic 代理程式埠,例如 CEF 使用 TCP 連接埠 25226 或 25224)
c. 以工作區標識符的實際值取代 workspace_id (第 14,15,16,19 行)
使用下列命令儲存變更並重新啟動適用於Linux的 Azure Log Analytics 代理程式服務:sudo /opt/microsoft/omsagent/bin/service_control重新啟動
修改 /etc/rsyslog.conf 檔案 - 最好在開頭 /before 指示詞區段新增下列範本,$template meraki,“%timestamp% %hostname% %msg%\n”
在 /etc/rsyslog.d/ 中建立自定義 conf 檔案,例如 10-meraki.conf,並新增下列篩選條件。
使用新增的語句,您將需要建立篩選,以指定要轉送至自定義數據表的 Cisco Meraki 記錄。
參考: 篩選條件 - rsyslog 8.18.0.master 檔
以下是可定義的篩選範例,這並不完整,而且需要針對每個安裝進行額外的測試。 如果$rawmsg包含“flow”,則 @@127.0.0.1:22033;meraki & stop if $rawmsg contains “urls” then @@127.0.0.1:22033;meraki & stop if $rawmsg contains-alerts“ then @@127.0.0.1:22033;meraki & stop if $rawmsg contains “events” then @@127.0.0.1:22033;meraki & stop if $rawmsg contains “ip_flow_start” then @@127.0.0.1:22033;meraki & stop if $rawmsg contains “ip_flow_end” then @@127.0.0.1:22033;梅拉基和停止
重新啟動 rsyslog systemctl restart rsyslog
設定並連線 Cisco Meraki 裝置(s)
請遵循這些指示 ,將 Cisco Meraki 裝置設定為轉寄 syslog。 使用 Linux 裝置的 IP 位址或主機名,並將 Linux 代理程式安裝為目的地 IP 位址。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。