جمع البيانات من المصادر المستندة إلى Linux باستخدام Syslog

  • مقالة
  • قراءة خلال 7 دقائق

ملاحظة

يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.

ملاحظة

للحصول على معلومات حول توفر الميزات في سحابات حكومة الولايات المتحدة، راجع جداول Microsoft Sentinel في توفر ميزة السحابة لعملاء حكومة الولايات المتحدة.

يُعد ⁧⁩Syslog⁧⁩ بروتوكولاً لتسجيل الأحداث، وهو شائع الاستخدام مع Linux. يمكنك استخدام البرنامج الخفي Syslog المضمن في أجهزة وأجهزة Linux لجمع الأحداث المحلية من الأنواع التي تحددها، وارسال هذه الأحداث إلى Microsoft Sentinel باستخدام عامل Log Analytics لنظام Linux (المعروف سابقا باسم عامل OMS).

توضح هذه المقالة كيفية توصيل مصادر البيانات ب Microsoft Sentinel باستخدام Syslog. لمزيد من المعلومات حول الموصلات المدعومة لهذا الأسلوب، راجع مرجع موصلات البيانات.

التصميم

عند تثبيت عامل Log Analytics على الجهاز الظاهري أو الجهاز، يقوم البرنامج النصي للتثبيت بتكوين البرنامج الخفي Syslog المحلي لإعادة توجيه الرسائل إلى العامل على منفذ UDP 25224. بعد تلقي الرسائل، يرسلها العامل إلى مساحة عمل Log Analytics عبر HTTPS، حيث يتم استيعابها في جدول Syslog في سجلات Microsoft Sentinel>.

لمزيد من المعلومات، راجع مصادر بيانات Syslog في Azure Monitor.

This diagram shows the data flow from syslog sources to the Microsoft Sentinel workspace, where the Log Analytics agent is installed directly on the data source device.

بالنسبة لبعض أنواع الأجهزة التي لا تسمح بالتثبيت المحلي لعامل Log Analytics، يمكن تثبيت العامل بدلا من ذلك على معيد توجيه سجل مخصص يستند إلى Linux. يجب تكوين الجهاز الأصلي لإرسال أحداث Syslog إلى البرنامج الخفي Syslog على معاد التوجيه هذا بدلا من البرنامج الخفي المحلي. يرسل البرنامج الخفي Syslog على معاد التوجيه الأحداث إلى عامل Log Analytics عبر UDP. إذا كان من المتوقع أن يجمع معيد توجيه Linux هذا عددا كبيرا من أحداث Syslog، يرسل برنامج Syslog الخفي الخاص به الأحداث إلى العامل عبر TCP بدلا من ذلك. في كلتا الحالتين، يرسل العامل الأحداث من هناك إلى مساحة عمل Log Analytics في Microsoft Sentinel.

This diagram shows the data flow from syslog sources to the Microsoft Sentinel workspace, where the Log Analytics agent is installed on a separate log-forwarding device.

ملاحظة

  • إذا كان الجهاز يدعم تنسيق الحدث المشترك (CEF) عبر Syslog، يتم جمع مجموعة بيانات أكثر اكتمالا، ويتم تحليل البيانات عند التجميع. يجب عليك اختيار هذا الخيار واتباع الإرشادات الواردة في الحصول على سجلات بتنسيق CEF من جهازك أو جهازك إلى Microsoft Sentinel.

  • يدعم Log Analytics مجموعة من الرسائل المرسلة بواسطة البرامج الخفية rsyslog أو syslog-ng ، حيث rsyslog هو الافتراضي. البرنامج الخفي الافتراضي ل syslog على الإصدار 5 من Red Hat Enterprise Linux (RHEL) وCentOS وإصدار Oracle Linux (sysklog) غير مدعوم لمجموعة أحداث syslog. لتجميع بيانات syslog من هذا الإصدار لأنظمة التشغيل هذه، يجب تثبيت البرنامج الخفي rsyslog وتكوينه ليحل محل sysklog.

هناك ثلاث خطوات لتكوين مجموعة Syslog:

  • تكوين جهاز أو جهاز Linux الخاص بك. يشير هذا إلى الجهاز الذي سيتم تثبيت عامل Log Analytics عليه، سواء كان هو نفس الجهاز الذي ينشأ الأحداث أو جامع السجلات الذي سيقوم بإعادة توجيهها.

  • تكوين إعدادات تسجيل التطبيق الخاص بك المقابلة لموقع البرنامج الخفي Syslog الذي سيرسل الأحداث إلى العامل.

  • تكوين عامل Log Analytics نفسه. يتم ذلك من داخل Microsoft Sentinel، ويتم إرسال التكوين إلى جميع العوامل المثبتة.

تكوين جهاز أو جهاز Linux

  1. من قائمة التنقل في Microsoft Sentinel، حدد موصلات البيانات.

  2. من معرض الموصلات، حدد Syslog ثم حدد فتح صفحة الموصل.

    إذا كان نوع جهازك مدرجا في معرض موصلات بيانات Microsoft Sentinel، فاختر الموصل لجهازك بدلا من موصل Syslog العام. إذا كانت هناك إرشادات إضافية أو خاصة لنوع جهازك، فستراه، إلى جانب المحتوى المخصص مثل المصنفات وقوالب قواعد التحليلات، على صفحة الموصل لجهازك.

  3. تثبيت عامل Linux. ضمن اختيار مكان تثبيت العامل:

    نوع الجهاز الإرشادات
    لجهاز Azure Linux الظاهري 1. قم بتوسيع Install agent على جهاز Azure Linux الظاهري.

    2. حدد رابط تنزيل & عامل التثبيت لأجهزة Azure Linux الظاهرية > .

    3. في جزء الأجهزة الظاهرية، حدد جهازا ظاهريا لتثبيت العامل عليه، ثم حدد الاتصال. كرر هذه الخطوة لكل جهاز ظاهري ترغب في الاتصال به.
    لأي جهاز Linux آخر 1. توسيع عامل التثبيت على جهاز Linux غير Azure

    2. حدد رابط تنزيل & عامل التثبيت لأجهزة >Linux غير Azure.

    3. في شفرة إدارة العوامل ، حدد علامة التبويب خوادم Linux ، ثم انسخ الأمر للتنزيل وعامل الإلحاق لنظام Linux وقم بتشغيله على جهاز Linux الخاص بك.

    إذا كنت ترغب في الاحتفاظ بنسخة محلية من ملف تثبيت عامل Linux، فحدد رابط Download Linux Agent أعلى الأمر "Download and onboard agent".

    ملاحظة

    تأكد من تكوين إعدادات الأمان لهذه الأجهزة وفقا لنهج الأمان الخاص بمؤسستك. على سبيل المثال، يمكنك تكوين إعدادات الشبكة لتتماشى مع نهج أمان شبكة مؤسستك، وتغيير المنافذ والبروتوكولات في البرنامج الخفي للتوافق مع متطلبات الأمان.

استخدام نفس الجهاز لإعادة توجيه كل من رسائل Syslog وCEF العادية

يمكنك استخدام جهاز معاد توجيه سجل CEF الحالي لجمع السجلات وإعادة توجيهها من مصادر Syslog العادية أيضا. ومع ذلك، يجب تنفيذ الخطوات التالية لتجنب إرسال الأحداث في كلا التنسيقين إلى Microsoft Sentinel، حيث سيؤدي ذلك إلى تكرار الأحداث.

بعد إعداد جمع البيانات بالفعل من مصادر CEF الخاصة بك، وتكوين عامل Log Analytics:

  1. على كل جهاز يرسل السجلات بتنسيق CEF، يجب تحرير ملف تكوين Syslog لإزالة المرافق التي يتم استخدامها لإرسال رسائل CEF. بهذه الطريقة، لن يتم إرسال المرافق التي يتم إرسالها في CEF أيضا في Syslog. راجع تكوين Syslog على عامل Linux للحصول على إرشادات مفصلة حول كيفية القيام بذلك.

  2. يجب تشغيل الأمر التالي على تلك الأجهزة لتعطيل مزامنة العامل مع تكوين Syslog في Microsoft Sentinel. وهذا يضمن عدم الكتابة فوق تغيير التكوين الذي أجريته في الخطوة السابقة.

    sudo -u omsagent python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable

تكوين إعدادات تسجيل الجهاز

تحتوي العديد من أنواع الأجهزة على موصلات بيانات خاصة بها تظهر في معرض موصلات البيانات . تتطلب بعض هذه الموصلات إرشادات إضافية خاصة لإعداد مجموعة السجلات بشكل صحيح في Microsoft Sentinel. يمكن أن تتضمن هذه الإرشادات تنفيذ محلل استنادا إلى دالة Kusto.

ستعرض جميع الموصلات المدرجة في المعرض أي إرشادات محددة على صفحات الموصل الخاصة بها في المدخل، وكذلك في أقسامها من الصفحة المرجعية لموصلات بيانات Microsoft Sentinel .

إذا كانت الإرشادات الموجودة على صفحة موصل البيانات في Microsoft Sentinel تشير إلى أنه يتم نشر وظائف Kusto كتحليلات لنموذج معلومات الأمان المتقدمة (ASIM)، فتأكد من نشر محللات ASIM في مساحة العمل الخاصة بك.

استخدم الارتباط الموجود في صفحة موصل البيانات لنشر المحللات، أو اتبع الإرشادات الواردة من مستودع GitHub Microsoft Sentinel.

لمزيد من المعلومات، راجع محللات نموذج معلومات الأمان المتقدمة (ASIM).

تكوين عامل Log Analytics

  1. في الجزء السفلي من شفرة موصل Syslog، حدد الارتباط Open your workspace agents configuration > .

  2. في جزء تكوين العوامل ، حدد علامة التبويب Syslog . ثم أضف المرافق للموصل لتجميعها. حدد Add facility واختر من القائمة المنسدلة للمرافق.

    • أضف المرافق التي يتضمنها جهاز syslog في رؤوس السجل الخاصة به.

    • إذا كنت ترغب في استخدام الكشف عن تسجيل الدخول SSH الشاذ مع البيانات التي تجمعها، أضف auth و authpriv. راجع القسم التالي للحصول على تفاصيل إضافية.

  3. عند إضافة جميع المرافق التي تريد مراقبتها، قم بإلغاء تحديد خانات الاختيار بحثا عن أي خطورة لا تريد جمعها. بشكل افتراضي يتم وضع علامة عليها جميعا.

  4. اختر ⁧⁩تطبيق⁧⁩.

  5. على الجهاز الظاهري أو الجهاز، تأكد من إرسال التسهيلات التي حددتها.

العثور على بياناتك

  1. للاستعلام عن بيانات سجل syslog في السجلات، اكتب Syslog في نافذة الاستعلام.

    (قد تخزن بعض الموصلات التي تستخدم آلية Syslog بياناتها في جداول أخرى غير Syslog. راجع قسم الموصل في الصفحة المرجعية لموصلات بيانات Microsoft Sentinel .)

  2. يمكنك استخدام معلمات الاستعلام الموضحة في استخدام الدالات في استعلامات سجل Azure Monitor لتحليل رسائل Syslog. يمكنك بعد ذلك حفظ الاستعلام كدالة Log Analytics جديدة واستخدامه كنوع بيانات جديد.

تكوين موصل Syslog للكشف عن تسجيل الدخول SSH الشاذ

هام

الكشف عن تسجيل الدخول إلى SSH غير المألوف قيد المعاينة حاليا. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

يمكن ل Microsoft Sentinel تطبيق التعلم الآلي (ML) على بيانات syslog لتحديد نشاط تسجيل الدخول غير المألوف ل Secure Shell (SSH). تتضمن السيناريوهات ما يلي:

  • السفر المستحيل - عندما يقع حدثان ناجحان لتسجيل الدخول من موقعين يستحيل الوصول إليهما ضمن الإطار الزمني لحدثي تسجيل الدخول.

  • موقع غير متوقع - الموقع الذي حدث منه حدث تسجيل دخول ناجح مريب. على سبيل المثال، لم يتم رؤية الموقع مؤخرا.

يتطلب هذا الكشف تكوينا محددا لموصل بيانات Syslog:

  1. بالنسبة للخطوة 2 ضمن تكوين عامل Log Analytics أعلاه، تأكد من تحديد كل من auth و authpriv كمرافق للمراقبة، ومن تحديد جميع الخطورة.

  2. السماح بالوقت الكافي لجمع معلومات سجل النظام. بعد ذلك، انتقل إلى Microsoft Sentinel - السجلات، وانسخ الاستعلام التالي والصقه:

    Syslog
| where Facility in ("authpriv","auth")
| extend c = extract( "Accepted\\s(publickey|password|keyboard-interactive/pam)\\sfor ([^\\s]+)",1,SyslogMessage)
| where isnotempty(c)
| count

    قم بتغيير النطاق الزمني إذا لزم الأمر، وحدد تشغيل.

    إذا كان العدد الناتج صفرا، فتأكد من تكوين الموصل وأن أجهزة الكمبيوتر المراقبة لديها نشاط تسجيل دخول ناجح للفترة الزمنية التي حددتها للاستعلام.

    إذا كان العدد الناتج أكبر من الصفر، فإن بيانات syslog مناسبة للكشف عن تسجيل الدخول إلى SSH الشاذ. يمكنك تمكين هذا الكشف من قوالب>AnalyticsRule>(Preview) Anomalous SSH Login Detection.

الخطوات التالية

في هذا المستند، تعلمت كيفية توصيل أجهزة Syslog المحلية ب Microsoft Sentinel. لمعرفة المزيد حول Microsoft Sentinel، راجع المقالات التالية: