適用於 Microsoft Sentinel 的 Cisco Software Defined WAN 連接器

Cisco Software Defined WAN(SD-WAN) 資料連接器提供將 Cisco SD-WAN Syslog 和 Netflow 資料內嵌至 Microsoft Sentinel 的功能。

這是自動產生的內容。如需變更，請連絡解決方案提供者。

連接器屬性

連接器屬性	描述
Kusto 函數別名	CiscoSyslogUTD
Kusto 函數 URL	https://aka.ms/sentinel-CiscoSyslogUTD-parser
記錄分析資料表	Syslog CiscoSDWANNetflow_CL
資料收集規則支援	工作區轉換 DCR
支援者：	Cisco 系統

Syslog 事件 - 所有 Syslog 事件。

Syslog

| sort by TimeGenerated desc

Cisco SD-WAN Netflow 事件 - 所有 Netflow 事件。

CiscoSDWANNetflow_CL

| sort by TimeGenerated desc

若要將 Cisco SD-WAN Syslog 和 Netflow 資料內嵌至 Microsoft Sentinel，請遵循下列步驟。

Azure 監視器代理程式將用來將 syslog 資料收集到 Microsoft sentinel。首先，您必須為 VM 建立 Azure Arc 伺服器，以便從中傳送 syslog 資料。

1.1 新增 Azure Arc 伺服器的步驟

在 Azure 入口網站中，移至 [伺服器 - Azure Arc]，然後按一下 [新增]。
在 [新增單一伺服器] 區段選取 [產生指令碼]。使用者也可以為多部伺服器產生指令碼。
在 [必要條件] 頁面上檢閱資訊，然後選取 [下一步]。
在 [資源] 詳細資料頁面上，提供 Microsoft Sentinel、區域、作業系統和連線能力方法的訂用帳戶和資源群組。然後選取下一步。
在 [標籤] 頁面上，檢閱建議的預設 [實體位置標籤] 並輸入值，或指定一或多個 [自訂標籤] 以支援您的標準。然後選取 [下一步]
選取 [下載] 以儲存指令檔。
現在您已產生指令碼，下一個步驟是在您想要上線至 Azure Arc 的伺服器上執行指令碼。
如果您有 Azure VM，執行指令碼之前，請遵循連結中所述的步驟。
使用下列命令執行指令碼：./<ScriptName>.sh
在安裝代理程式並設定為連線至已啟用 Azure Arc 的伺服器之後，請前往 Azure 入口網站來確認伺服器已成功連線。在 Azure 入口網站中檢視您的電腦。參考連結

1.2 建立資料收集規則 (DCR) 的步驟

在 Azure 入口網站中搜尋監視器。在 [設定] 底下，選取 [資料收集規則] 和　[選取建立]。
在 [基本] 面板輸入 [規則名稱]、[訂用帳戶]、[資源群組]、[區域] 和 [平台類型]。
選取 [下一步：資源]。
選取 [新增資源]。使用篩選條件來尋找您用來收集記錄的虛擬機器。
選取虛擬機器。選取套用。
選取 [下一步: 收集並傳遞]。
選取新增資料來源。針對 [資料來源類型]，選取[Linux syslog]。
針對 [最小記錄層級]，保留預設值 [LOG_DEBUG]。
選取 [下一步：目的地]。
選取 [新增目的地] 並新增 [目的地類型]、[訂用帳戶] 和 [帳戶] 或 [命名空間]。
選取新增資料來源。完成時，選取 [下一步:檢閱 + 建立]。
選取建立。等候 20 分鐘。在 Microsoft Sentinel 或 Azure 監視器中，確認 Azure 監視器代理程式正在您的 VM 上執行。參考連結
將 Netflow 資料內嵌到 Microsoft Sentinel

若要將 Netflow 資料內嵌至 Microsoft Sentinel，必須在 VM 上安裝並設定 Filebeat 和 Logstash。設定之後，vm 將能夠在設定的連接埠上接收凈流量資料，並將該資料內嵌至 Microsoft Sentinel 的工作區。

2.1 安裝 Filebeat 和 Logstash

2.2 設定 Filebeat 將事件傳送至 Logstash

編輯 filebeat.yml 檔案：vi /etc/filebeat/filebeat.yml
將 Elasticsearch 輸出區段註解化。
取消註解 Logstash 輸出區段 (僅取消註解化這兩行)- output.logstash 主機：["localhost:5044"]
在 [Logstash 輸出] 區段中，如果您想要傳送預設連接埠以外的資料，也就是 5044 連接埠，請取代主機欄位中的連接埠號碼。 (注意：設定 Logstash 時，應該在設定檔中新增此連接埠。)
在 'filebeat.inputs' 區段中註解化現有設定並新增下列設定：- 類型： netflow max_message_size：10KiB 主機："0.0.0.0:2055" 通訊協定：[v5，v9， ipfix] expiration_timeout：30m queue_size：8192 custom_definitions： - /etc/filebeat/custom.yml detect_sequence_reset：true 已啟用：true
在 [Filebeat 輸入] 區段中，如果您想要接收預設連接埠 (也就是 2055 連接埠) 以外的資料，請取代主機欄位中的連接埠號碼。
在 /etc/filebeat/ 目錄中新增提供的 custom.yml 檔案。
在防火牆中開啟檔案訊號輸入和輸出連接埠。
執行命令：firewall-cmd --zone=public --permanent --add-port=2055/udp
執行命令：firewall-cmd --zone=public --permanent --add-port=5044/udp

注意：如果已新增 Filebeat 輸入/輸出的自訂連接埠，那麽在防火牆中開啟該連接埠。

2.3 設定 Logstash 將事件傳送至 Microsoft Sentinel

安裝 Azure Log Analytics 外掛程式：
執行命令：sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
將 Log Analytics 工作區金鑰儲存在 Logstash 金鑰存放區中。您可以在 Azure 入口網站的 [Log Analytic 工作區] > [選取工作區] >在 [設定] 底下選取 [代理程式] > [Log Analytics 代理程式指示] 底下找到工作區金鑰。
複製主要金鑰並執行下列命令：
sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
建立設定檔 /etc/logstash/cisco-netflow-to-sentinel.conf: input { beats { port =><port_number> #(輸入在 Filebeat 設定期間設定的輸出連接埠號碼，亦即 filebeat.yml 檔案。)} } 輸出 { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } }

注意：如果資料表不存在於 Microsoft Sentinel 中，則會在 Sentinel 中建立新的資料表。

2.4 執行 Filebeat：

systemctl start filebeat

filebeat run -e

2.5 執行 Logstash：

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf

如需詳細資訊，請移至 Azure Marketplace 中的相關解決方案 (英文)。