다음을 통해 공유

Microsoft Sentinel용 Cisco 소프트웨어 정의 WAN 커넥터

  • 아티클

Cisco 소프트웨어 정의 WAN(SD-WAN) 데이터 커넥터는 Cisco SD-WAN Syslog 및 Netflow 데이터를 Microsoft Sentinel에 수집하는 기능을 제공합니다.

자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.

커넥터 특성

커넥터 특성 설명
Kusto 함수 별칭 CiscoSyslogUTD
Kusto 함수 URL https://aka.ms/sentinel-CiscoSyslogUTD-parser
Log Analytics 테이블 syslog
CiscoSDWANNetflow_CL
데이터 수집 규칙 지원 작업 영역 변환 DCR
다음에서 지원 Cisco Systems

쿼리 샘플

Syslog 이벤트 - 모든 Syslog 이벤트.

Syslog

| sort by TimeGenerated desc

Cisco SD-WAN Netflow 이벤트 - 모든 Netflow 이벤트.

CiscoSDWANNetflow_CL

| sort by TimeGenerated desc

공급업체 설치 지침

Cisco SD-WAN Syslog 및 Netflow 데이터를 Microsoft Sentinel에 수집하려면 아래 단계를 따릅니다.

  1. Microsoft Sentinel에 Syslog 데이터를 수집하는 단계

Azure Monitor 에이전트는 syslog 데이터를 Microsoft sentinel로 수집하는 데 사용됩니다. 이를 위해서는 먼저 syslog 데이터가 전송될 VM에 대한 Azure Arc 서버를 만들어야 합니다.

1.1 Azure Arc Server를 추가하는 단계

  1. Azure Portal에서 서버 - Azure Arc로 이동하고 추가를 클릭합니다.
  2. 단일 서버 추가 섹션에서 스크립트 생성을 선택합니다. 사용자는 다중 서버에 대한 스크립트도 생성할 수 있습니다.
  3. 사전 요구 사항 페이지에서 정보를 검토한 후 다음을 선택합니다.
  4. 리소스 세부 정보 페이지에서 Microsoft Sentinel, 지역, 운영 체제 및 연결 방법의 구독 및 리소스 그룹을 제공합니다. 그런 후 다음을 선택합니다.
  5. 태그 페이지에서 제안된 기본 실제 위치 태그를 검토하고 값을 입력하거나 표준을 지원하는 사용자 지정 태그를 하나 이상 지정합니다. 그리고 다음을 선택합니다.
  6. 다운로드를 선택하여 스크립트 파일을 저장합니다.
  7. 이제 스크립트를 생성했으므로 다음 단계는 Azure Arc에 온보딩하려는 서버에서 스크립트를 실행하는 것입니다.
  8. Azure VM이 있는 경우 스크립트를 실행하기 전에 링크에 언급된 단계를 따릅니다.
  9. ./<ScriptName>.sh 명령을 사용하여 스크립트를 실행합니다.
  10. 에이전트가 설치되고 Azure Arc 사용 서버에 연결하도록 구성되면 Azure Portal로 이동하여 서버가 성공적으로 연결되었는지 확인합니다. Azure Portal에서 머신을 확인합니다. 참조 링크

1.2 DCR(데이터 수집 규칙) 만들기 단계

  1. Azure Portal에서 모니터를 검색합니다. 설정에서 데이터 수집 규칙을 선택하고 만들기를 선택합니다.

  2. 기본 패널에서 규칙 이름, 구독, 리소스 그룹, 지역 및 플랫폼 형식을 입력합니다.

  3. 다음: 리소스를 선택합니다.

  4. 리소스 추가를 선택합니다. 필터를 사용하여 로그를 수집하는 데 사용할 가상 머신을 찾습니다.

  5. 가상 머신을 선택합니다. 적용을 선택합니다.

  6. 다음: 수집 및 제공을 선택합니다.

  7. 데이터 원본 추가를 선택합니다. 데이터 원본 유형으로 Linux syslog를 선택합니다.

  8. 최소 로그 수준의 경우 기본값인 LOG_DEBUG를 그대로 둡니다.

  9. 다음: 대상을 선택합니다.

  10. 대상 추가를 선택하고 대상 유형, 구독 및 계정 또는 네임스페이스를 추가합니다.

  11. 데이터 원본 추가를 선택합니다. 완료되면 다음: 리뷰 + 만들기를 클릭합니다.

  12. 만들기를 실행합니다. 20분 동안 기다립니다. Microsoft Sentinel 또는 Azure Monitor에서 Azure Monitor 에이전트가 VM에서 실행되고 있는지 확인합니다. 참조 링크

  13. Microsoft Sentinel에 Netflow 데이터를 수집하는 단계

Netflow 데이터를 Microsoft Sentinel로 수집하려면 Filebeat 및 Logstash를 VM에 설치하고 구성해야 합니다. 구성 후 VM은 구성된 포트에서 Netflow 데이터를 수신할 수 있으며 해당 데이터는 Microsoft sentinel의 작업 영역으로 수집됩니다.

2.1 filebeat와 logstash 설치

  1. apt를 사용하여 filebeat 및 logstash를 설치하려면 다음 문서를 참조하세요.
  2. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html.
  3. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html.
  4. RedHat 기반 Linux(yum)용 filebeat 및 logstash 설치 단계는 다음과 같습니다.
  5. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum.
  6. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum

2.2 Logstash에 이벤트를 보내도록 Filebeat 구성

  1. filebeat.yml 파일 편집: vi /etc/filebeat/filebeat.yml
  2. Elasticsearch 출력 섹션을 주석으로 처리합니다.
  3. Logstash 출력 섹션의 주석 처리를 제거합니다(이 두 행만 주석 처리를 제거합니다)-output.logstash 호스트: ["localhost:5044"]
  4. Logstash 출력 섹션에서 기본 포트(예: 5044 포트) 이외의 데이터를 전송하려면 호스트 필드의 포트 번호를 바꿉니다. (참고: 이 포트는logstash를 구성하는 동안 conf 파일에 추가되어야 합니다.)
  5. "filebeat.inputs" 섹션에서 기존 구성을 주석으로 처리하고 다음 구성을 추가합니다. - type: netflow max_message_size: 10KiB host: "0.0.0.0:2055" protocols: [ v5, v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions: - /etc/filebeat/custom.yml detect_sequence_reset: true enabled: true
  6. Filebeat 입력 섹션에서 기본 포트(예: 2055 포트) 이외의 데이터를 수신하려면 호스트 필드의 포트 번호를 바꿉니다.
  7. /etc/filebeat/ 디렉터리 내에 제공된 custom.yml 파일을 추가합니다.
  8. 방화벽에서 파일비트 입력 및 출력 포트를 엽니다.
  9. firewall-cmd --zone=public --permanent --add-port=2055/udp 명령을 실행합니다.
  10. firewall-cmd --zone=public --permanent --add-port=5044/udp 명령을 실행합니다.

참고: 파일비트 입출력을 위해 사용자 지정 포트가 추가된 경우 방화벽에서 해당 포트를 엽니다.

2.3 Microsoft Sentinel에 이벤트를 보내도록 Logstash 구성

  1. Azure Log Analytics 플러그 인을 설치합니다.
  2. 명령 실행: sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
  3. Log Analytics 작업 영역 키를 Logstash 키 저장소에 저장합니다. 작업 영역 키는 Azure Portal의 Log Analytics 작업 영역 > 작업 영역 선택 > 설정에서 에이전트 선택 > Log Analytics 에이전트 지침 아래에서 찾을 수 있습니다.
  4. 기본 키를 복사하고 다음 명령을 실행합니다.
  5. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
  6. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
  7. 구성 파일 /etc/logstash/cisco-netflow-to-sentinel.conf 만들기: input { beats { port =><port_number> #(Filebeat 구성 중에 구성된 출력 포트 번호(예: filebeat.yml 파일)를 입력합니다.) } } output { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } }

참고: Microsoft sentinel에 테이블이 없으면 sentinel에 새 테이블이 만들어집니다.

2.4 Filebeat 실행:

  1. 터미널을 열고 명령을 실행합니다.

systemctl start filebeat

  1. 이 명령은 백그라운드에서 filebeat 실행을 시작합니다. 로그를 보려면 filebeat(systemctl stop filebeat)를 중지한 후 다음 명령을 실행합니다.

filebeat run -e

2.5 Logstash 실행:

  1. 다른 터미널에서 다음 명령을 실행합니다.

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &

  1. 이 명령은 백그라운드에서 Logstash 실행을 시작합니다. Logstash의 로그를 보려면 위 프로세스를 종료하고 다음 명령을 실행합니다.

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf

다음 단계

자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.