Cisco Software Defined WAN-connector voor Microsoft Sentinel
De gegevensconnector Cisco Software Defined WAN (SD-WAN) biedt de mogelijkheid om Cisco SD-WAN Syslog- en Netflow-gegevens op te nemen in Microsoft Sentinel.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Verbinding maken orkenmerken
Verbinding maken orkenmerk | Beschrijving |
---|---|
Kusto-functiealias | CiscoSyslogUTD |
Kusto-functie-URL | https://aka.ms/sentinel-CiscoSyslogUTD-parser |
Log Analytics-tabellen | Syslog CiscoSDWANNetflow_CL |
Ondersteuning voor regels voor gegevensverzameling | DCR voor werkruimtetransformatie |
Ondersteund door | Cisco Systems |
Voorbeelden van query's
Syslog-gebeurtenissen : alle Syslog-gebeurtenissen.
Syslog
| sort by TimeGenerated desc
Cisco SD-WAN Netflow Events - Alle Netflow-gebeurtenissen.
CiscoSDWANNetflow_CL
| sort by TimeGenerated desc
Installatie-instructies van leverancier
Volg de onderstaande stappen om Cisco SD-WAN Syslog- en Netflow-gegevens op te nemen in Microsoft Sentinel.
- Stappen voor het opnemen van Syslog-gegevens naar Microsoft Sentinel
Azure Monitor Agent wordt gebruikt voor het verzamelen van de syslog-gegevens in Microsoft Sentinel. Hiervoor moet eerst een Azure Arc-server worden gemaakt voor de VIRTUELE machine waaruit syslog-gegevens worden verzonden.
1.1 Stappen voor het toevoegen van Azure Arc Server
- Ga in Azure Portal naar Servers - Azure Arc en klik op Toevoegen.
- Selecteer Script genereren onder Een sectie Eén server toevoegen. Een gebruiker kan ook scripts genereren voor meerdere servers.
- Controleer de informatie op de pagina Vereisten en selecteer vervolgens Volgende.
- Geef op de pagina Resourcegegevens het abonnement en de resourcegroep op van de methode Microsoft Sentinel, Regio, Besturingssysteem en Verbinding maken iviteit. Selecteer Volgende.
- Controleer, op de pagina Tags, de standaard Fysieke locatiecodes die worden voorgesteld. Voer vervolgens een waarde in, of geef één of meer Aangepaste codes op om uw standaarden te ondersteunen. Selecteer vervolgens Volgende
- Selecteer Downloaden om het scriptbestand op te slaan.
- Nu u het script hebt gegenereerd, is de volgende stap het uitvoeren op de server die u wilt onboarden naar Azure Arc.
- Als u een Azure-VM hebt, volgt u de stappen die worden vermeld in de koppeling voordat u het script uitvoert.
- Voer het script uit met de volgende opdracht:
./<ScriptName>.sh
- Nadat u de agent hebt geïnstalleerd en geconfigureerd om verbinding te maken met servers met Azure Arc, gaat u naar Azure Portal om te controleren of de server verbinding heeft gemaakt. Bekijk uw machine in Azure Portal. Verwijzingskoppeling
1.2 Stappen voor het maken van een regel voor gegevensverzameling (DCR)
Zoek in Azure Portal naar Monitor. Selecteer onder Instellingen regels voor gegevensverzameling en Selecteer Maken.
Voer in het deelvenster Basisinformatie de regelnaam, het abonnement, de resourcegroep, de regio en het platformtype in.
Selecteer Volgende: Resources.
Selecteer Resources toevoegen. Gebruik de filters om de virtuele machine te vinden die u gaat gebruiken om logboeken te verzamelen.
Selecteer de virtuele machine. Selecteer Toepassen.
Selecteer Volgende: Verzamelen en leveren.
Selecteer Gegevensbron toevoegen. Voor gegevensbrontype selecteert u Linux syslog.
Laat voor minimumlogboekniveau de standaardwaarden LOG_DEBUG.
Selecteer Volgende: Bestemming.
Selecteer Bestemming toevoegen en doeltype, Abonnement en Account of naamruimte toevoegen.
Selecteer Gegevensbron toevoegen. Selecteer Volgende: Beoordelen en maken.
Selecteer Maken. Wacht 20 minuten. Controleer in Microsoft Sentinel of Azure Monitor of de Azure Monitor-agent wordt uitgevoerd op uw VIRTUELE machine. Verwijzingskoppeling
Stappen voor het opnemen van Netflow-gegevens naar Microsoft Sentinel
Als u Netflow-gegevens wilt opnemen in Microsoft sentinel, moeten Filebeat en Logstash worden geïnstalleerd en geconfigureerd op de virtuele machine. Na de configuratie kan de vm netflowgegevens ontvangen op de geconfigureerde poort en worden die gegevens opgenomen in de werkruimte van Microsoft sentinel.
2.1 Filebeat en logstash installeren
- Raadpleeg dit document voor de installatie van filebeat en logstash met apt:
- Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html.
- Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html.
- Voor de installatie van filebeat en logstash voor Op RedHat gebaseerde Linux-stappen (yum) zijn als volgt:
- Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum.
- Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum
2.2 Filebeat configureren om gebeurtenissen naar Logstash te verzenden
- Filebeat.yml bestand bewerken:
vi /etc/filebeat/filebeat.yml
- Markeer de sectie Elasticsearch Output als commentaar.
- Sectie Logboektash-uitvoer verwijderen (verwijder alleen de opmerkingen uit deze twee regels)- output.logstash-hosts: ["localhost:5044"]
- Als u in de sectie Logstash-uitvoer de andere gegevens wilt verzenden dan de standaardpoort, bijvoorbeeld 5044 poort, vervangt u het poortnummer in het hostveld. (Opmerking: deze poort moet worden toegevoegd in het conf-bestand, tijdens het configureren van logstash.)
- Voeg in de sectie filebeat.inputs een opmerking toe over de bestaande configuratie en voeg de volgende configuratie toe: - type: netflow max_message_size: 10KiB-host: "0.0.0.0:2055" protocollen: [ v5, v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions: - /etc/filebeat/custom.yml detect_sequence_reset: true enabled: true
- Als u in de sectie Filebeat-invoer de andere gegevens wilt ontvangen dan de standaardpoort, bijvoorbeeld 2055-poort, vervangt u het poortnummer in het hostveld.
- Voeg het opgegeven custom.yml bestand toe in de map /etc/filebeat/.
- Open de filebeat-invoer- en uitvoerpoort in de firewall.
- Voer de opdracht uit:
firewall-cmd --zone=public --permanent --add-port=2055/udp
- Voer de opdracht uit:
firewall-cmd --zone=public --permanent --add-port=5044/udp
Opmerking: als er een aangepaste poort is toegevoegd voor filebeat-invoer/-uitvoer, opent u die poort in de firewall.
2.3 Logstash configureren voor het verzenden van gebeurtenissen naar Microsoft Sentinel
- Installeer de Azure Log Analytics-invoegtoepassing:
- Opdracht uitvoeren:
sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
- Sla de Log Analytics-werkruimtesleutel op in het Logboektash-sleutelarchief. De werkruimtesleutel vindt u in De Azure-portal onder De werkruimte Logboekanalyse selecteer werkruimte > > Selecteren onder Instellingen agent log analytics-agentinstructies > selecteren.
- Kopieer de primaire sleutel en voer de volgende opdrachten uit:
sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
- Maak het configuratiebestand /etc/logstash/cisco-netflow-to-sentinel.conf: input { beats { port =><port_number> #(Voer het uitvoerpoortnummer in dat is geconfigureerd tijdens de filebeat-configuratie, bijvoorbeeld filebeat.yml bestand .) } output { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } }
Opmerking: Als de tabel niet aanwezig is in Microsoft sentinel, wordt er een nieuwe tabel gemaakt in Sentinel.
2.4 Voer Filebeat uit:
- Open een terminal en voer de opdracht uit:
systemctl start filebeat
- Met deze opdracht wordt filebeat op de achtergrond uitgevoerd. Als u de logboeken wilt zien, stopt u de filebeat (
systemctl stop filebeat
) en voert u de volgende opdracht uit:
filebeat run -e
2.5 Voer Logstash uit:
- Voer in een andere terminal de opdracht uit:
/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &
- Met deze opdracht wordt de logstash op de achtergrond uitgevoerd. Als u de logboeken van logstash het bovenstaande proces wilt bekijken en de volgende opdracht wilt uitvoeren:
/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.