共用方式為


適用於 Microsoft Sentinel 的 Cisco Software Defined WAN 連接器

Cisco Software Defined WAN(SD-WAN) 資料連接器提供將 Cisco SD-WAN Syslog 和 Netflow 資料內嵌至 Microsoft Sentinel 的功能。

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連接器屬性

連接器屬性 描述
Kusto 函數別名 CiscoSyslogUTD
Kusto 函數 URL https://aka.ms/sentinel-CiscoSyslogUTD-parser
記錄分析資料表 Syslog
CiscoSDWANNetflow_CL
資料收集規則支援 工作區轉換 DCR
支援者: Cisco 系統

查詢範例

Syslog 事件 - 所有 Syslog 事件。

Syslog

| sort by TimeGenerated desc

Cisco SD-WAN Netflow 事件 - 所有 Netflow 事件。

CiscoSDWANNetflow_CL

| sort by TimeGenerated desc

廠商的安裝指示

若要將 Cisco SD-WAN Syslog 和 Netflow 資料內嵌至 Microsoft Sentinel,請遵循下列步驟。

  1. 將 Syslog 資料內嵌到 Microsoft Sentinel

Azure 監視器代理程式將用來將 syslog 資料收集到 Microsoft sentinel。 首先,您必須為 VM 建立 Azure Arc 伺服器,以便從中傳送 syslog 資料。

1.1 新增 Azure Arc 伺服器的步驟

  1. 在 Azure 入口網站中,移至 [伺服器 - Azure Arc],然後按一下 [新增]。
  2. 在 [新增單一伺服器] 區段選取 [產生指令碼]。 使用者也可以為多部伺服器產生指令碼。
  3. 在 [必要條件] 頁面上檢閱資訊,然後選取 [下一步]。
  4. 在 [資源] 詳細資料頁面上,提供 Microsoft Sentinel、區域、作業系統和連線能力方法的訂用帳戶和資源群組。 然後選取下一步。
  5. 在 [標籤] 頁面上,檢閱建議的預設 [實體位置標籤] 並輸入值,或指定一或多個 [自訂標籤] 以支援您的標準。 然後選取 [下一步]
  6. 選取 [下載] 以儲存指令檔。
  7. 現在您已產生指令碼,下一個步驟是在您想要上線至 Azure Arc 的伺服器上執行指令碼。
  8. 如果您有 Azure VM,執行指令碼之前,請遵循 連結 中所述的步驟。
  9. 使用下列命令執行指令碼:./<ScriptName>.sh
  10. 在安裝代理程式並設定為連線至已啟用 Azure Arc 的伺服器之後,請前往 Azure 入口網站來確認伺服器已成功連線。 在 Azure 入口網站中檢視您的電腦。 參考連結

1.2 建立資料收集規則 (DCR) 的步驟

  1. 在 Azure 入口網站中搜尋監視器。 在 [設定] 底下,選取 [資料收集規則] 和 [選取建立]。

  2. 在 [基本] 面板輸入 [規則名稱]、[訂用帳戶]、[資源群組]、[區域] 和 [平台類型]。

  3. 選取 [下一步:資源]。

  4. 選取 [新增資源]。使用篩選條件來尋找您用來收集記錄的虛擬機器。

  5. 選取虛擬機器。 選取套用。

  6. 選取 [下一步: 收集並傳遞]。

  7. 選取新增資料來源。 針對 [資料來源類型],選取[Linux syslog]。

  8. 針對 [最小記錄層級],保留預設值 [LOG_DEBUG]。

  9. 選取 [下一步:目的地]。

  10. 選取 [新增目的地] 並新增 [目的地類型]、[訂用帳戶] 和 [帳戶] 或 [命名空間]。

  11. 選取新增資料來源。 完成時,選取 [下一步:檢閱 + 建立]。

  12. 選取 建立。 等候 20 分鐘。 在 Microsoft Sentinel 或 Azure 監視器中,確認 Azure 監視器代理程式正在您的 VM 上執行。 參考連結

  13. 將 Netflow 資料內嵌到 Microsoft Sentinel

若要將 Netflow 資料內嵌至 Microsoft Sentinel,必須在 VM 上安裝並設定 Filebeat 和 Logstash。 設定之後,vm 將能夠在設定的連接埠上接收凈流量資料,並將該資料內嵌至 Microsoft Sentinel 的工作區。

2.1 安裝 Filebeat 和 Logstash

  1. 如需使用 APT 安裝 Filebeat 和 Logstash,請參閱此檔案:
  2. Filebeat:https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html
  3. Logstash:https://www.elastic.co/guide/en/logstash/current/installing-logstash.html
  4. 針對 RedHat 型 Linux (yum) 的 Filebeat 和 Logstash 安裝步驟如下所示:
  5. Filebeat:https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum
  6. Logstash:https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum

2.2 設定 Filebeat 將事件傳送至 Logstash

  1. 編輯 filebeat.yml 檔案:vi /etc/filebeat/filebeat.yml
  2. 將 Elasticsearch 輸出區段註解化。
  3. 取消註解 Logstash 輸出區段 (僅取消註解化這兩行)- output.logstash 主機:["localhost:5044"]
  4. 在 [Logstash 輸出] 區段中,如果您想要傳送預設連接埠以外的資料,也就是 5044 連接埠,請取代主機欄位中的連接埠號碼。 (注意:設定 Logstash 時,應該在設定檔中新增此連接埠。)
  5. 在 'filebeat.inputs' 區段中註解化現有設定並新增下列設定:- 類型: netflow max_message_size:10KiB 主機:"0.0.0.0:2055" 通訊協定:[v5,v9, ipfix] expiration_timeout:30m queue_size:8192 custom_definitions: - /etc/filebeat/custom.yml detect_sequence_reset:true 已啟用:true
  6. 在 [Filebeat 輸入] 區段中,如果您想要接收預設連接埠 (也就是 2055 連接埠) 以外的資料,請取代主機欄位中的連接埠號碼。
  7. 在 /etc/filebeat/ 目錄中新增提供的 custom.yml 檔案。
  8. 在防火牆中開啟檔案訊號輸入和輸出連接埠。
  9. 執行命令:firewall-cmd --zone=public --permanent --add-port=2055/udp
  10. 執行命令:firewall-cmd --zone=public --permanent --add-port=5044/udp

注意:如果已新增 Filebeat 輸入/輸出的自訂連接埠,那麽在防火牆中開啟該連接埠。

2.3 設定 Logstash 將事件傳送至 Microsoft Sentinel

  1. 安裝 Azure Log Analytics 外掛程式:
  2. 執行命令:sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
  3. 將 Log Analytics 工作區金鑰儲存在 Logstash 金鑰存放區中。 您可以在 Azure 入口網站的 [Log Analytic 工作區] > [選取工作區] >在 [設定] 底下選取 [代理程式] > [Log Analytics 代理程式指示] 底下找到工作區金鑰。
  4. 複製主要金鑰並執行下列命令:
  5. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
  6. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
  7. 建立設定檔 /etc/logstash/cisco-netflow-to-sentinel.conf: input { beats { port =><port_number> #(輸入在 Filebeat 設定期間設定的輸出連接埠號碼,亦即 filebeat.yml 檔案 。)} } 輸出 { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } }

注意:如果資料表不存在於 Microsoft Sentinel 中,則會在 Sentinel 中建立新的資料表。

2.4 執行 Filebeat:

  1. 開啟終端,並執行命令:

systemctl start filebeat

  1. 此命令將會開始在背景中執行 Filebeat。 若要查看記錄,停止 Filebeat (systemctl stop filebeat),然後執行下列命令:

filebeat run -e

2.5 執行 Logstash:

  1. 在另一個終端上執行命令:

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &

  1. 此命令將會開始在背景中執行 Logstash。 若要查看 Logstash 的記錄,終止上述流程,並執行下列命令:

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。