適用於 Microsoft Sentinel 的 Cisco Software Defined WAN 連接器
Cisco Software Defined WAN(SD-WAN) 資料連接器提供將 Cisco SD-WAN Syslog 和 Netflow 資料內嵌至 Microsoft Sentinel 的功能。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
連接器屬性 | 描述 |
---|---|
Kusto 函數別名 | CiscoSyslogUTD |
Kusto 函數 URL | https://aka.ms/sentinel-CiscoSyslogUTD-parser |
記錄分析資料表 | Syslog CiscoSDWANNetflow_CL |
資料收集規則支援 | 工作區轉換 DCR |
支援者: | Cisco 系統 |
查詢範例
Syslog 事件 - 所有 Syslog 事件。
Syslog
| sort by TimeGenerated desc
Cisco SD-WAN Netflow 事件 - 所有 Netflow 事件。
CiscoSDWANNetflow_CL
| sort by TimeGenerated desc
廠商的安裝指示
若要將 Cisco SD-WAN Syslog 和 Netflow 資料內嵌至 Microsoft Sentinel,請遵循下列步驟。
- 將 Syslog 資料內嵌到 Microsoft Sentinel
Azure 監視器代理程式將用來將 syslog 資料收集到 Microsoft sentinel。 首先,您必須為 VM 建立 Azure Arc 伺服器,以便從中傳送 syslog 資料。
1.1 新增 Azure Arc 伺服器的步驟
- 在 Azure 入口網站中,移至 [伺服器 - Azure Arc],然後按一下 [新增]。
- 在 [新增單一伺服器] 區段選取 [產生指令碼]。 使用者也可以為多部伺服器產生指令碼。
- 在 [必要條件] 頁面上檢閱資訊,然後選取 [下一步]。
- 在 [資源] 詳細資料頁面上,提供 Microsoft Sentinel、區域、作業系統和連線能力方法的訂用帳戶和資源群組。 然後選取下一步。
- 在 [標籤] 頁面上,檢閱建議的預設 [實體位置標籤] 並輸入值,或指定一或多個 [自訂標籤] 以支援您的標準。 然後選取 [下一步]
- 選取 [下載] 以儲存指令檔。
- 現在您已產生指令碼,下一個步驟是在您想要上線至 Azure Arc 的伺服器上執行指令碼。
- 如果您有 Azure VM,執行指令碼之前,請遵循 連結 中所述的步驟。
- 使用下列命令執行指令碼:
./<ScriptName>.sh
- 在安裝代理程式並設定為連線至已啟用 Azure Arc 的伺服器之後,請前往 Azure 入口網站來確認伺服器已成功連線。 在 Azure 入口網站中檢視您的電腦。 參考連結
1.2 建立資料收集規則 (DCR) 的步驟
在 Azure 入口網站中搜尋監視器。 在 [設定] 底下,選取 [資料收集規則] 和 [選取建立]。
在 [基本] 面板輸入 [規則名稱]、[訂用帳戶]、[資源群組]、[區域] 和 [平台類型]。
選取 [下一步:資源]。
選取 [新增資源]。使用篩選條件來尋找您用來收集記錄的虛擬機器。
選取虛擬機器。 選取套用。
選取 [下一步: 收集並傳遞]。
選取新增資料來源。 針對 [資料來源類型],選取[Linux syslog]。
針對 [最小記錄層級],保留預設值 [LOG_DEBUG]。
選取 [下一步:目的地]。
選取 [新增目的地] 並新增 [目的地類型]、[訂用帳戶] 和 [帳戶] 或 [命名空間]。
選取新增資料來源。 完成時,選取 [下一步:檢閱 + 建立]。
選取 建立。 等候 20 分鐘。 在 Microsoft Sentinel 或 Azure 監視器中,確認 Azure 監視器代理程式正在您的 VM 上執行。 參考連結
將 Netflow 資料內嵌到 Microsoft Sentinel
若要將 Netflow 資料內嵌至 Microsoft Sentinel,必須在 VM 上安裝並設定 Filebeat 和 Logstash。 設定之後,vm 將能夠在設定的連接埠上接收凈流量資料,並將該資料內嵌至 Microsoft Sentinel 的工作區。
2.1 安裝 Filebeat 和 Logstash
- 如需使用 APT 安裝 Filebeat 和 Logstash,請參閱此檔案:
- Filebeat:https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html。
- Logstash:https://www.elastic.co/guide/en/logstash/current/installing-logstash.html。
- 針對 RedHat 型 Linux (yum) 的 Filebeat 和 Logstash 安裝步驟如下所示:
- Filebeat:https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum。
- Logstash:https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum
2.2 設定 Filebeat 將事件傳送至 Logstash
- 編輯 filebeat.yml 檔案:
vi /etc/filebeat/filebeat.yml
- 將 Elasticsearch 輸出區段註解化。
- 取消註解 Logstash 輸出區段 (僅取消註解化這兩行)- output.logstash 主機:["localhost:5044"]
- 在 [Logstash 輸出] 區段中,如果您想要傳送預設連接埠以外的資料,也就是 5044 連接埠,請取代主機欄位中的連接埠號碼。 (注意:設定 Logstash 時,應該在設定檔中新增此連接埠。)
- 在 'filebeat.inputs' 區段中註解化現有設定並新增下列設定:- 類型: netflow max_message_size:10KiB 主機:"0.0.0.0:2055" 通訊協定:[v5,v9, ipfix] expiration_timeout:30m queue_size:8192 custom_definitions: - /etc/filebeat/custom.yml detect_sequence_reset:true 已啟用:true
- 在 [Filebeat 輸入] 區段中,如果您想要接收預設連接埠 (也就是 2055 連接埠) 以外的資料,請取代主機欄位中的連接埠號碼。
- 在 /etc/filebeat/ 目錄中新增提供的 custom.yml 檔案。
- 在防火牆中開啟檔案訊號輸入和輸出連接埠。
- 執行命令:
firewall-cmd --zone=public --permanent --add-port=2055/udp
- 執行命令:
firewall-cmd --zone=public --permanent --add-port=5044/udp
注意:如果已新增 Filebeat 輸入/輸出的自訂連接埠,那麽在防火牆中開啟該連接埠。
2.3 設定 Logstash 將事件傳送至 Microsoft Sentinel
- 安裝 Azure Log Analytics 外掛程式:
- 執行命令:
sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
- 將 Log Analytics 工作區金鑰儲存在 Logstash 金鑰存放區中。 您可以在 Azure 入口網站的 [Log Analytic 工作區] > [選取工作區] >在 [設定] 底下選取 [代理程式] > [Log Analytics 代理程式指示] 底下找到工作區金鑰。
- 複製主要金鑰並執行下列命令:
sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
- 建立設定檔 /etc/logstash/cisco-netflow-to-sentinel.conf: input { beats { port =><port_number> #(輸入在 Filebeat 設定期間設定的輸出連接埠號碼,亦即 filebeat.yml 檔案 。)} } 輸出 { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } }
注意:如果資料表不存在於 Microsoft Sentinel 中,則會在 Sentinel 中建立新的資料表。
2.4 執行 Filebeat:
- 開啟終端,並執行命令:
systemctl start filebeat
- 此命令將會開始在背景中執行 Filebeat。 若要查看記錄,停止 Filebeat (
systemctl stop filebeat
),然後執行下列命令:
filebeat run -e
2.5 執行 Logstash:
- 在另一個終端上執行命令:
/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &
- 此命令將會開始在背景中執行 Logstash。 若要查看 Logstash 的記錄,終止上述流程,並執行下列命令:
/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。