Connettore Cisco Software Defined WAN per Microsoft Sentinel

Il connettore dati Cisco Software Defined WAN (SD-WAN) offre la possibilità di inserire dati Syslog Cisco SD-WAN e Netflow in Microsoft Sentinel.

Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.

attributi Connessione or

Attributo Connessione or Descrizione
Alias della funzione Kusto CiscoSyslogUTD
URL della funzione Kusto https://aka.ms/sentinel-CiscoSyslogUTD-parser
Tabelle di Log Analytics syslog
CiscoSDWANNetflow_CL
Supporto delle regole di raccolta dati Trasformazione dell'area di lavoro DCR
Supportata da: Cisco Systems

Esempi di query

Eventi Syslog : tutti gli eventi Syslog.

Syslog

| sort by TimeGenerated desc

Eventi Netflow Cisco SD-WAN - Tutti gli eventi Netflow.

CiscoSDWANNetflow_CL

| sort by TimeGenerated desc

Istruzioni di installazione fornitore

Per inserire i dati Syslog e Netflow cisco SD-WAN in Microsoft Sentinel, seguire questa procedura.

  1. Passaggi per inserire dati Syslog in Microsoft Sentinel

L'agente di Monitoraggio di Azure verrà usato per raccogliere i dati syslog in Microsoft Sentinel. Per prima cosa è necessario creare un server azure arc per la macchina virtuale da cui verranno inviati i dati syslog.

1.1 Passaggi per aggiungere Azure Arc Server

  1. In portale di Azure passare a Server - Azure Arc e fare clic su Aggiungi.
  2. Selezionare Genera script nella sezione Aggiungi un singolo server. Un utente può anche generare script per più server.
  3. Nella pagina Prerequisiti, esamina le informazioni e quindi seleziona Avanti.
  4. Nella pagina Dettagli risorsa specificare la sottoscrizione e il gruppo di risorse del metodo Microsoft Sentinel, Area, Sistema operativo e Connessione ivity. Quindi seleziona Avanti.
  5. Nella pagina Tag esaminare l'impostazione predefinita e suggerita di Tag di località fisica e immettere un valore oppure specificare una o più opzioni per Tag personalizzati in base ai propri standard. Quindi selezionare Avanti
  6. Selezionare Scarica per salvare il file di script.
  7. Dopo aver generato lo script, il passaggio successivo consiste nell'eseguirlo nel server di cui si vuole eseguire l'onboarding in Azure Arc.
  8. Se si dispone di una macchina virtuale di Azure, seguire i passaggi indicati nel collegamento prima di eseguire lo script.
  9. Eseguire lo script con il comando seguente: ./<ScriptName>.sh
  10. Dopo aver installato l'operatore e averlo configurato per la connessione ai server abilitati per Azure Arc, passa al portale di Azure per verificare che il server sia stato collegato correttamente. Visualizzare la propria macchina virtuale nel portale di Azure. Collegamento di riferimento

1.2 Passaggi per creare una regola di raccolta dati

  1. Nel portale di Azure cercare Monitoraggio. In Impostazioni selezionare Regole di raccolta dati e Selezionare Crea.

  2. Nel pannello Informazioni di base immettere il nome della regola, la sottoscrizione, il gruppo di risorse, l'area e il tipo di piattaforma.

  3. Selezionare Avanti: Risorse.

  4. Selezionare Aggiungi risorse. Usare i filtri per trovare la macchina virtuale che verrà usata per raccogliere i log.

  5. Selezionare la macchina virtuale. Selezionare Applica.

  6. Selezionare Avanti: Raccogliere e recapitare.

  7. Seleziona Aggiungi origine dati. Per Tipo di origine dati selezionare Syslog Linux.

  8. Per Livello di log minimo lasciare i valori predefiniti LOG_DEBUG.

  9. Selezionare Avanti: Destinazione.

  10. Selezionare Aggiungi destinazione e aggiungere tipo di destinazione, sottoscrizione e account o spazio dei nomi.

  11. Seleziona Aggiungi origine dati. Selezionare Avanti: Rivedi e crea.

  12. Seleziona Crea. Attendere 20 minuti. In Microsoft Sentinel o Monitoraggio di Azure verificare che l'agente di Monitoraggio di Azure sia in esecuzione nella macchina virtuale. Collegamento di riferimento

  13. Passaggi per inserire i dati netflow in Microsoft Sentinel

Per inserire i dati netflow in Microsoft sentinel, è necessario installare e configurare Filebeat e Logstash nella macchina virtuale. Dopo la configurazione, la macchina virtuale sarà in grado di ricevere dati netflow sulla porta configurata e che i dati verranno inseriti nell'area di lavoro di Microsoft Sentinel.

2.1 Installare filebeat e logstash

  1. Per l'installazione di filebeat e logstash con apt, vedere questo documento:
  2. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html.
  3. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html.
  4. Per l'installazione di filebeat e logstash per i passaggi linux basati su RedHat (yum) sono i seguenti:
  5. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum.
  6. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum

2.2 Configurare Filebeat per inviare eventi a Logstash

  1. Modificare filebeat.yml file: vi /etc/filebeat/filebeat.yml
  2. Impostare come commento la sezione Output di Elasticsearch.
  3. Rimuovere il commento dalla sezione Logtash Output (Rimuovere il commento solo da queste due righe) - output.logstash hosts: ["localhost:5044"]
  4. Nella sezione Logstash Output , se si desidera inviare i dati diversi dalla porta predefinita, ad esempio la porta 5044, sostituire il numero di porta nel campo hosts. Nota: questa porta deve essere aggiunta nel file conf durante la configurazione di logstash.
  5. Nella sezione "filebeat.inputs" impostare come commento la configurazione esistente e aggiungere la configurazione seguente: - type: netflow max_message_size: 10KiB host: "0.0.0.0:2055" protocols: [ v5, v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions: - /etc/filebeat/custom.yml detect_sequence_reset: true enabled: true
  6. Nella sezione Input Filebeat, se si desidera ricevere i dati diversi dalla porta predefinita, ad esempio la porta 2055, sostituire il numero di porta nel campo host.
  7. Aggiungere il file custom.yml fornito all'interno della directory /etc/filebeat/.
  8. Aprire la porta di input e output filebeat nel firewall.
  9. Eseguire il comando: firewall-cmd --zone=public --permanent --add-port=2055/udp
  10. Eseguire il comando: firewall-cmd --zone=public --permanent --add-port=5044/udp

Nota: se viene aggiunta una porta personalizzata per l'input/output filebeat, aprire tale porta nel firewall.

2.3 Configurare Logstash per inviare eventi a Microsoft Sentinel

  1. Installare il plug-in Azure Log Analytics:
  2. Esegui comando: sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
  3. Archiviare la chiave dell'area di lavoro Log Analytics nell'archivio chiavi Logstash. La chiave dell'area di lavoro è disponibile nel portale di Azure in Area di lavoro > Analisi log Selezionare l'area di lavoro > In Impostazioni selezionare > Le istruzioni dell'agente Di Log Analytics.
  4. Copiare la chiave primaria ed eseguire i comandi seguenti:
  5. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
  6. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
  7. Creare il file di configurazione /etc/logstash/cisco-netflow-to-sentinel.conf: input { beats { port =><port_number> #(Immettere il numero di porta di output configurato durante la configurazione filebeat, ad esempio. filebeat.yml file .) } } output { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } }

Nota: se la tabella non è presente in Microsoft Sentinel, verrà creata una nuova tabella in sentinel.

2.4 Eseguire il filebeat:

  1. Aprire un terminale ed eseguire il comando :

systemctl start filebeat

  1. Questo comando inizierà a eseguire filebeat in background. Per visualizzare i log arrestare il filebeat (systemctl stop filebeat) e quindi eseguire il comando seguente:

filebeat run -e

2.5 Eseguire Logstash:

  1. In un altro terminale eseguire il comando :

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &

  1. Questo comando inizierà a eseguire logstash in background. Per visualizzare i log di logstash terminare il processo precedente ed eseguire il comando seguente:

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf

Passaggi successivi

Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.