Conector Cisco Software Defined WAN para Microsoft Sentinel

O conector de dados Cisco Software Defined WAN(SD-WAN) fornece a capacidade de ingerir dados do Cisco SD-WAN do Syslog e Netflow no Microsoft Sentinel.

Este é um conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Exemplos de consulta

Eventos do Syslog – todos os eventos do Syslog.

Syslog

| sort by TimeGenerated desc

Eventos do Cisco SD-WAN do Netflow – todos os eventos do Netflow.

CiscoSDWANNetflow_CL

| sort by TimeGenerated desc

Instruções de instalação do fornecedor

Para ingerir dados do Cisco SD-WAN do Syslog e do Netflow no Microsoft Sentinel, siga as etapas abaixo.

1. Etapas para ingerir dados do Syslog no Microsoft Sentinel

O Agente do Azure Monitor será usado para coletar os dados do Syslog no Microsoft Sentinel. Para isso, primeiro é necessário criar um servidor do Azure Arc para a VM da qual os dados do Syslog serão enviados.

1.1 Etapas para adicionar o servidor do Azure Arc

1. No portal do Azure, acesse Servidores – Azure Arc e clique em Adicionar.
2. Selecione Gerar script em Adicionar uma única seção do servidor. Um usuário também pode gerar scripts para vários servidores.
3. Revise as informações na página Pré-requisitos e selecione Avançar.
4. Na página Detalhes do recurso, forneça a assinatura e o grupo de recursos do Microsoft Sentinel, Região, Sistema operacional e Método de conectividade. Em seguida, selecione Avançar.
5. Na página Marcas, examine as Marcas de localização física padrão sugeridas e insira um valor ou especifique uma ou mais Marcas personalizadas a fim de dar suporte aos seus padrões. Depois, selecione Avançar
6. Selecione Baixar para salvar o arquivo de script.
7. Agora que você gerou o script, a próxima etapa é executá-lo no servidor que você deseja integrar ao Azure Arc.
8. Se você tiver a VM do Azure, siga as etapas mencionadas no link antes de executar o script.
9. Execute o script pelo seguinte comando: ./<ScriptName>.sh
10. Depois de instalar o agente e configurá-lo para se conectar aos servidores habilitados para Azure Arc, acesse o portal do Azure para verificar se o servidor foi conectado com êxito. Exiba o seu computador no portal do Azure. Link de referência

1.2 Etapas para criar a Regra de Coleta de Dados (DCR)

1. No portal do Azure, pesquise Monitor. Em Configurações, selecione Regras de Coleta de Dados e selecione Criar.

2. No painel Básico, insira o nome da regra, assinatura, grupo de recursos, região e tipo de plataforma.

3. Selecione Avançar: Recursos.

4. Selecione Adicionar recursos. Use os filtros para localizar a máquina virtual que você usará para coletar logs.

5. Selecione a máquina virtual. Escolha Aplicar.

6. Selecione Avançar: Coletar e entregar.

7. Clique em Adicionar fonte de dados. Em Tipo de fonte de dados, selecione Syslog do Linux.

8. Em Nível mínimo de log, deixe os valores padrão LOG_DEBUG.

9. Selecione Avançar: Destino.

10. Selecione Adicionar destino e adicione o tipo de destino, assinatura e conta ou namespace.

11. Clique em Adicionar fonte de dados. Selecione Avançar: Revisar + criar.

12. Selecione Criar. Aguarde 20 minutos. No Microsoft Sentinel ou no Azure Monitor, verifique se o agente do Azure Monitor está em execução na VM. Link de referência

13. Etapas para ingerir dados do Netflow no Microsoft Sentinel

Para ingerir dados do Netflow no Microsoft Sentinel, o Filebeat e o Logstash precisam ser instalados e configurados na VM. Após a configuração, a VM poderá receber dados de fluxo de rede na porta configurada e esses dados serão ingeridos no workspace do Microsoft Sentinel.

2.1 Instalar o filebeat e o logstash

1. Para a instalação do filebeat e do logstash usando apt, confira este documento:
2. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html.
3. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html.
4. Para a instalação do filebeat e do logstash para Linux (yum) baseado em RedHat, as etapas são as seguintes:
5. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum.
6. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum

2.2 Configurar o Filebeat para enviar eventos para o Logstash

1. Edite o arquivo filebeat.yml: vi /etc/filebeat/filebeat.yml
2. Remova com um comentário a seção Saída do Elasticsearch.
3. Remover marca de comentário da seção Saída do Logstash (Remover marca de comentário somente destas duas linhas)- hosts output.logstash: ["localhost:5044"]
4. Na seção Saída do Logstash, se você quiser enviar os dados que não sejam a porta padrão, ou seja, 5044, substitua o número da porta no campo hosts. (Observação: esta porta deve ser adicionada no arquivo de configuração, ao configurar o logstash.)
5. Na seção "filebeat.inputs", comente a configuração existente e adicione a seguinte configuração: – tipo: netflow max_message_size: 10KiB host: "0.0.0.0:2055" protocolos: [ v5, v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions: – /etc/filebeat/custom.yml detect_sequence_reset: true enabled: true
6. Na seção de entradas do Filebeat, se você quiser receber os dados que não sejam a porta padrão, ou seja, 2055, substitua o número da porta no campo de host.
7. Adicione o arquivo custom.yml fornecido dentro do diretório /etc/filebeat/.
8. Abra a porta de entrada e saída do filebeat no firewall.
9. Execute o comando: firewall-cmd --zone=public --permanent --add-port=2055/udp
10. Execute o comando: firewall-cmd --zone=public --permanent --add-port=5044/udp

Observação: se uma porta personalizada for adicionada para entrada/saída do filebeat, abra essa porta no firewall.

2.3 Configurar o Logstash para enviar eventos ao Microsoft Sentinel

1. Instale o plug-in do Azure Log Analytics:
2. Executar Comando: sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
3. Armazene a chave do workspace do Log Analytics no repositório de chaves do Logstash. A chave do workspace pode ser encontrada no Portal do Azure no workspace do Log Analytics, >selecione o workspace > em Configurações, selecione Agente > instruções do agente do Log Analytics.
4. Copie a chave primária e execute os seguintes comandos:
5. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
6. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
7. Crie o arquivo de configuração /etc/logstash/cisco-netflow-to-sentinel.conf: input { beats { port =><port_number> #(Insira o número da porta de saída que foi configurado durante a configuração do filebeat, ou seja, arquivo filebeat.yml .) } } output { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } }

Observação: se a tabela não estiver presente no Microsoft Sentinel, ela criará uma nova tabela no Sentinel.

2.4 Executar o Filebeat:

1. Abra um terminal e execute o comando:

systemctl start filebeat

2. Este comando começará a executar o filebeat em segundo plano. Para ver os logs pararem o filebeat (systemctl stop filebeat), execute o seguinte comando:

filebeat run -e

2.5 Executar o Logstash:

1. Em outro terminal, execute o comando:

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &

2. Este comando começará a executar a barra de logs em segundo plano. Para ver os logs do Logstash, encerre o processo acima e execute o seguinte comando:

/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.