الحصول على سجلات بتنسيق CEF من جهازك أو جهازك في Microsoft Sentinel

  • مقالة
  • قراءة خلال 4 دقائق

ملاحظة

يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.

ملاحظة

للحصول على معلومات حول توفر الميزات في السحابات الحكومية الأمريكية، راجع جداول Microsoft Sentinel في توفر ميزة السحابة لعملاء الحكومة الأمريكية.

ترسل العديد من أجهزة وأجهزة الشبكات والأمان سجلات النظام الخاصة بها عبر بروتوكول Syslog بتنسيق متخصص يعرف باسم تنسيق الحدث المشترك (CEF). يتضمن هذا التنسيق معلومات أكثر من تنسيق Syslog القياسي ، ويقدم المعلومات في ترتيب قيمة مفتاح تم تحليله. يقبل وكيل تحليلات السجل سجلات CEF ويقوم بتنسيقها خصيصا للاستخدام مع Microsoft Sentinel، قبل إعادة توجيهها إلى مساحة عمل Microsoft Sentinel الخاصة بك.

توضح هذه المقالة عملية استخدام السجلات بتنسيق CEF لتوصيل مصادر البيانات. لمزيد من المعلومات حول موصلات البيانات التي تستخدم هذه الطريقة، راجع مرجع موصلات بيانات Microsoft Sentinel.

هناك خطوتان رئيسيتان لإجراء هذا الاتصال ، سيتم شرحهما أدناه بالتفصيل:

  • تعيين جهاز Linux أو جهاز ظاهري كجهة إعادة توجيه سجل مخصصة، وتثبيت وكيل Log Analytics عليه، وتكوين الوكيل لإعادة توجيه السجلات إلى مساحة عمل Microsoft Sentinel. يتم التعامل مع تثبيت وتكوين العامل بواسطة برنامج نصي للنشر.

  • تكوين جهازك لإرسال سجلاته بتنسيق CEF إلى خادم Syslog.

ملاحظة

يتم تخزين البيانات في الموقع الجغرافي لمساحة العمل التي تقوم بتشغيل Microsoft Sentinel عليها.

البنى المدعومة

يصف الرسم التخطيطي التالي الإعداد في حالة جهاز Linux الظاهري في Azure:

CEF in Azure

بدلا من ذلك، ستستخدم الإعداد التالي إذا كنت تستخدم جهازا ظاهريا في سحابة أخرى، أو جهازا محليا:

CEF on premises

المتطلبات الأساسية

يلزم توفر مساحة عمل Microsoft Sentinel لاستيعاب بيانات CEF في Log Analytics.

تعيين معيد توجيه سجل وتثبيت وكيل Log Analytics

يوضح هذا القسم كيفية تعيين وتكوين جهاز Linux الذي سيقوم بإعادة توجيه السجلات من جهازك إلى مساحة عمل Microsoft Sentinel.

يمكن أن يكون جهاز Linux جهازا فعليا أو ظاهريا في بيئتك المحلية أو جهاز Azure VM أو جهاز ظاهري في سحابة أخرى.

استخدم الارتباط المتوفر في صفحة موصل بيانات تنسيق الحدث المشترك (CEF) لتشغيل برنامج نصي على الجهاز المعين وتنفيذ المهام التالية:

  • يقوم بتثبيت وكيل Log Analytics لنظام التشغيل Linux (المعروف أيضا باسم وكيل OMS) وتكوينه للأغراض التالية:

    • الإنصات إلى رسائل تنسيق الحدث المشترك من البرنامج الخفي لـ Linux Syslog المدمج على منفذ TCP 25226
    • إرسال الرسائل بأمان عبر طبقة النقل الآمنة إلى مساحة عمل Microsoft Sentinel الخاصة بك، حيث يتم تحليلها وإثرائها

  • يقوم بتكوين البرنامج الخفي Linux Syslog المدمج (rsyslog.d/syslog-ng) للأغراض التالية:

    • الانصات لرسائل Syslog من حلول الأمان الخاصة بك على منفذ TCP 514
    • إعادة توجيه الرسائل التي يحددها فقط على أنها تنسيق الحدث المشترك إلى وكيل Log Analytics على المضيف المحلي باستخدام منفذ TCP 25226

لمزيد من المعلومات، راجع نشر معيد توجيه سجل لاستيعاب سجلات Syslog وCEF إلى Microsoft Sentinel.

اعتبارات الأمان

تأكد من تكوين أمان الجهاز وفقًا لنهج أمان المؤسسة الخاصة بك. على سبيل المثال، يمكنك تكوين الشبكة لتتماشى مع نهج أمان شبكة الشركة وتغيير المنافذ والبروتوكولات في البرنامج الخفي لتتماشى مع متطلباتك.

لمزيد من المعلومات، راجع الجهاز الظاهري الآمن في Azureوأفضل الممارسات لأمان الشبكة.

إذا كانت أجهزتك ترسل سجلات Syslog وCEF عبر طبقة النقل الآمنة، كما هو الحال عندما يكون معيد توجيه السجل في السحابة، فستحتاج إلى تكوين Syslog daemon (rsyslog أو syslog-ng) للاتصال في طبقة النقل الآمنة.

لمزيد من المعلومات، انظر:

تكوين جهازك

حدد موقع واتبع إرشادات تكوين مورد جهازك لإرسال السجلات بتنسيق CEF إلى SIEM أو خادم السجلات.

إذا ظهر منتجك في معرض موصلات البيانات، فيمكنك الرجوع إلى مرجع موصلات بيانات Microsoft Sentinel للحصول على المساعدة، حيث يجب أن تتضمن إرشادات التكوين الإعدادات الموجودة في القائمة أدناه.

  • البروتوكول = TCP
  • المنفذ = 514
  • التنسيق = CEF
  • عنوان IP - تأكد من إرسال رسائل CEF إلى عنوان IP الخاص بالجهاز الظاهري الذي خصصته لهذا الغرض.

يدعم هذا الحل Syslog RFC 3164 أو RFC 5424.

تلميح

حدد بروتوكولا مختلفا أو رقم منفذ مختلفا في جهازك حسب الحاجة، طالما أنك تقوم أيضا بإجراء نفس التغييرات في البرنامج الخفي Syslog على معيد توجيه السجل.

العثور على بياناتك

قد يستغرق الأمر ما يصل إلى 20 دقيقة بعد إجراء الاتصال حتى تظهر البيانات في Log Analytics.

للبحث عن أحداث CEF في Log Analytics، يمكنك الاستعلام عن الجدول في نافذة الاستعلام CommonSecurityLog .

تتطلب بعض المنتجات المدرجة في معرض موصلات البيانات استخدام محللين إضافيين للحصول على أفضل النتائج. يتم تنفيذ هذه المحللات من خلال استخدام وظائف Kusto. لمزيد من المعلومات، راجع القسم الخاص بمنتجك في الصفحة المرجعية لموصلات بيانات Microsoft Sentinel .

للعثور على أحداث CEF لهذه المنتجات، أدخل اسم الدالة Kusto كموضوع الاستعلام، بدلا من "CommonSecurityLog".

يمكنك العثور على نماذج مفيدة من الاستعلامات والمصنفات وقوالب قواعد التحليلات المصممة خصيصا لمنتجك في علامة التبويب الخطوات التالية في صفحة موصل بيانات المنتج في مدخل Microsoft Sentinel.

إذا كنت لا ترى أي بيانات، فراجع صفحة استكشاف الأخطاء وإصلاحها في CEF للحصول على الإرشادات.

تغيير مصدر الحقل "تم إنشاء الوقت"

بشكل افتراضي، يقوم عامل Log Analytics بتعبئة الحقل TimeGenerated في المخطط بالوقت الذي تلقى فيه العامل الحدث من البرنامج الخفي Syslog. ونتيجة لذلك، لا يتم تسجيل الوقت الذي تم فيه إنشاء الحدث على النظام المصدر في Microsoft Sentinel.

ومع ذلك ، يمكنك تشغيل الأمر التالي ، والذي سيقوم بتنزيل TimeGenerated.py البرنامج النصي وتشغيله. يقوم هذا البرنامج النصي بتكوين وكيل Log Analytics لملء حقل TimeGenerated بالوقت الأصلي للحدث على نظامه المصدر، بدلا من الوقت الذي استلمه فيه الوكيل.

wget -O TimeGenerated.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/TimeGenerated.py && python TimeGenerated.py {ws_id}

الخطوات التالية

في هذا المستند، تعرفت على كيفية قيام Microsoft Sentinel بجمع سجلات CEF من الأجهزة والأجهزة. لمعرفة المزيد حول توصيل منتجك ب Microsoft Sentinel، راجع المقالات التالية:

لمعرفة المزيد حول ما يجب القيام به مع البيانات التي قمت بتجميعها في Microsoft Sentinel، راجع المقالات التالية: