適用於 Microsoft Sentinel 的 Cisco Software 定義 WAN 連接器

Cisco Software Defined WAN（SD-WAN）數據連接器提供將 Cisco SD-WAN Syslog 和 Netflow 數據內嵌至 Microsoft Sentinel 的功能。

這是自動產生的內容。如需變更，請連絡解決方案提供者。

連線 or 屬性

連線 or 屬性	描述
Kusto 函式別名	CiscoSyslogUTD
Kusto 函式 URL	https://aka.ms/sentinel-CiscoSyslogUTD-parser
Log Analytics 數據表（s）	Syslog CiscoSDWANNetflow_CL
數據收集規則支援	工作區轉換 DCR
支援者：	Cisco Systems

Syslog 事件 - 所有 Syslog 事件。

Syslog

| sort by TimeGenerated desc

Cisco SD-WAN Netflow 事件 - 所有 Netflow 事件。

CiscoSDWANNetflow_CL

| sort by TimeGenerated desc

若要將 Cisco SD-WAN Syslog 和 Netflow 數據內嵌至 Microsoft Sentinel，請遵循下列步驟。

Azure 監視器代理程式將用來將 syslog 數據收集到 Microsoft sentinel。首先，您必須為 VM 建立 Azure arc 伺服器，以便從中傳送 syslog 數據。

1.1 新增 Azure Arc Server 的步驟

在 [Azure 入口網站] 中，移至 [伺服器 - Azure Arc]，然後按兩下 [新增]。
選取 [新增單一伺服器] 區段底下的 [產生腳本]。使用者也可以為多部伺服器產生腳本。
複查 [先決條件] 頁面上的資訊，然後選取 [下一步]。
在 [資源詳細數據] 頁面上，提供 Microsoft Sentinel、Region、Operating system 和連線 ivity 方法的訂用帳戶和資源群組。然後選取下一步。
在 [標籤] 頁面上，檢閱建議的預設 [實體位置標籤] 並輸入值，或指定一或多個 [自訂標籤] 以支援您的標準。然後選取 [下一步]
選取 [下載] 以儲存文本檔案。
現在您已產生腳本，下一個步驟是在您想要上線至 Azure Arc 的伺服器上執行腳本。
如果您有 Azure VM，請先遵循連結中所述的步驟，再執行腳本。
執行下列命令的文稿： ./<ScriptName>.sh
在安裝代理程式並設定為連線至已啟用 Azure Arc 的伺服器之後，請前往 Azure 入口網站來確認伺服器已成功連線。在 Azure 入口網站中檢視您的電腦。參考連結

1.2 建立資料收集規則的步驟（DCR）

在 Azure 入口網站中搜尋監視器。在 [設定] 下，選取 [數據收集規則]，然後選取 [建立]。
在 [基本] 面板上，輸入 [規則名稱]、[訂用帳戶]、[資源群組]、[區域] 和 [平台類型]。
選取 [下一步：資源]。
選取 [新增資源]。使用篩選來尋找您將用來收集記錄的虛擬機。
選取虛擬機器。選取套用。
選取 [下一步: 收集並傳遞]。
選取新增資料來源。針對 [資料來源類型]，選取[Linux syslog]。
針對 [最小記錄層級]，保留預設值 [LOG_DEBUG]。
選取 [下一步：目的地]。
選取 [新增目的地] 並新增 [目的地類型]、[訂用帳戶] 和 [帳戶] 或 [命名空間]。
選取新增資料來源。完成時，選取 [下一步:檢閱 + 建立]。
選取建立。等候 20 分鐘。在 Microsoft Sentinel 或 Azure 監視器中，確認 Azure 監視器代理程式正在您的 VM 上執行。參考連結
將 Netflow 數據內嵌至 Microsoft sentinel 的步驟

若要將 Netflow 數據內嵌至 Microsoft sentinel，必須在 VM 上安裝並設定 Filebeat 和 Logstash。設定之後，vm 將能夠在設定的埠上接收凈流量數據，並將該數據內嵌至 Microsoft sentinel 的工作區。

2.1 安裝 filebeat 和 logstash

2.2 設定 Filebeat 將事件傳送至 Logstash

編輯filebeat.yml檔案： vi /etc/filebeat/filebeat.yml
將 Elasticsearch 輸出區段批注化。
取消批注 Logstash 輸出區段（僅取消批注這兩行）- output.logstash 主機：[“localhost：5044”]
在 [Logstash 輸出] 區段中，如果您想要傳送預設埠以外的數據，也就是 5044 埠，請取代主機欄位中的埠號碼。（注意：設定 logstash 時，應該在 conf 檔案中新增此埠。
在 'filebeat.inputs' 區段中批注現有組態並新增下列組態： - 類型： netflow max_message_size： 10KiB 主機： “0.0.0.0：2055” 通訊協定： [ v5， v9， ipfix ] expiration_timeout： 30m queue_size： 8192 custom_definitions： - /etc/filebeat/custom.yml detect_sequence_reset： true enabled： true
在 [Filebeat 輸入] 區段中，如果您想要接收預設埠以外的數據，也就是 2055 埠，請取代主機字段中的埠號碼。
在 /etc/filebeat/ 目錄中新增提供的 custom.yml 檔案。
在防火牆中開啟檔案訊號輸入和輸出埠。
執行命令：firewall-cmd --zone=public --permanent --add-port=2055/udp
執行命令：firewall-cmd --zone=public --permanent --add-port=5044/udp

注意：如果已新增檔案訊號輸入/輸出的自定義埠，請在防火牆中開啟該埠。

2.3 設定 Logstash 將事件傳送至 Microsoft Sentinel

安裝 Azure Log Analytics 外掛程式：
執行命令： sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
將 Log Analytics 工作區金鑰儲存在 Logstash 金鑰存放區中。您可以在 Azure 入口網站中找到工作區金鑰，在 [Log Analytic] 工作區>的 [選取工作區>] 底下設定選取 [代理程式 Log Analytics 代理>程式指示]。
複製主要金鑰並執行下列命令：
sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
建立組態檔 /etc/logstash/cisco-netflow-to-sentinel.conf：input { beats { port =><port_number> #（輸入在檔案訊號設定期間設定的輸出埠號碼，亦即 filebeat.yml檔案 .） } } output { microsoft-logstash-output-azure-loganalytics { workspace_id => “<workspace_id>” workspace_key = “${LogAnalyticsKey}” custom_log_table_name =>> “CiscoSDWANNetflow” } }

注意：如果數據表不存在於 Microsoft sentinel 中，則會在 sentinel 中建立新的數據表。

2.4 執行 Filebeat：

systemctl start filebeat

filebeat run -e

2.5 執行 Logstash：

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf