[已弃用]适用于 Microsoft Sentinel 的 Cisco Meraki 连接器
重要
现在,Microsoft Sentinel 中的“通过 AMA 的通用事件格式 (CEF)”、“通过 AMA 的 Syslog”或“通过 AMA 的自定义日志”数据连接器支持从许多设备收集日志。 如需详细信息,请参阅查找 Microsoft Sentinel 数据连接器。
通过 Cisco Meraki 连接器,可以轻松地将 Cisco Meraki (MX/MR/MS) 日志与 Microsoft Sentinel 连接。 这样,用户就可以更深入地了解组织的网络并改善安全操作功能。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
连接器属性 | 说明 |
---|---|
Log Analytics 表 | meraki_CL |
数据收集规则支持 | 目前不支持 |
支持的服务 | Microsoft Corporation |
查询示例
按日志类型列出的事件总数
CiscoMeraki
| summarize count() by LogType
前 10 个阻止的连接
CiscoMeraki
| where LogType == "security_event"
| where Action == "block"
| summarize count() by SrcIpAddr, DstIpAddr, Action, Disposition
| top 10 by count_
先决条件
若要与 [已弃用] Cisco Meraki 集成,请确保具备:
- Cisco Meraki:必须配置为通过 Syslog 导出日志
供应商安装说明
注意:此数据连接器依赖于基于 Kusto 函数的分析程序才能按预期工作,该函数已部署为解决方案的一部分。 要查看 Log Analytics 中的函数代码,请打开 Log Analytics/Microsoft Sentinel 的“日志”边栏选项卡,单击“函数”,搜索别名 CiscoMeraki 并加载函数代码,或者单击此处。 安装/更新解决方案后,函数通常需要 10-15 分钟才能激活。
- 安装并载入适用于 Linux 的代理
通常,应将代理安装在与生成日志的计算机不同的计算机上。
仅从 Linux 代理收集 Syslog 日志。
- 配置要收集的日志
按照以下配置步骤将 Cisco Meraki 设备日志导入 Microsoft Sentinel。 有关这些步骤的更多详细信息,请参阅 Azure Monitor 文档。 对于 Cisco Meraki 日志,在使用默认设置按 OMS 代理数据分析数据时会出现问题。 因此,我们建议按照以下说明将日志捕获到自定义表 meraki_CL 中。
登录到安装了 OMS 代理的服务器。
下载配置文件 meraki.conf wget -v https://aka.ms/sentinel-ciscomerakioms-conf -O meraki.conf
将 meraki.conf 复制到 /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ 文件夹。 cp meraki.conf /etc/opt/microsoft/omsagent/<<workspace_id>>/conf/omsagent.d/
按如下方式编辑 meraki.conf:
a. 默认情况下,meraki.conf 使用端口 22033。 确保服务器上的任何其他源都未使用此端口
b. 如果要更改 meraki.conf 的默认端口,请确保不使用默认 Azure 监视日志分析代理端口(例如,CEF 使用 TCP 端口 25226 或 25224)
c. 将 workspace_id 替换为工作区 ID 的实际值(行 14、15、16、19)
保存更改并使用以下命令重启适用于 Linux 的 Azure Log Analytics 代理服务:sudo /opt/microsoft/omsagent/bin/service_control restart
修改 /etc/rsyslog.conf 文件 - 最好在开头 /before 指令部分添加以下模板:$template meraki,"%timestamp% %hostname% %msg%\n"
在 /etc/rsyslog.d/ 中创建自定义配置文件(例如 10-meraki.conf)并添加以下筛选条件。
使用添加的语句时,需要创建一个筛选器,以指定要转发到自定义表的来自 Cisco Meraki 的日志。
参考:筛选条件 — rsyslog 8.18.0.master 文档
下面是一个可以定义的筛选的示例,并不完整,需要对每个安装进行额外测试。 如果$rawmsg包含“流”,则 @@127.0.0.1:22033;meraki & stop if $rawmsg contains “firewall” then @@127.0.0.1:22033;meraki& stop if $rawmsg contains“ then @@127.0.0.1:22033;meraki & stop if $rawmsg contains-alerts“ then @@127.0.0.1:22033;meraki & stop if $rawmsg contains “events” then @@127.0.0.1:22033;meraki& stop if $rawmsg contains “ip_flow_start” then @@127.0.0.1:22033;meraki & stop if $rawmsg contains “ip_flow_end” then @@127.0.0.1:22033;梅拉基和停止
重启 rsyslog systemctl restart rsyslog
配置并连接 Cisco Meraki 设备
按照这些说明操作,将 Cisco Meraki 设备配置为转发 syslog。 使用 Linux 设备的 IP 地址或主机名,并将 Linux 代理安装为目标 IP 地址。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。