PASO 3: Validar conectividadSTEP 3: Validate connectivity

Una vez que haya implementado el reenviador de registros (en el paso 1) y configurado la solución de seguridad para enviar mensajes de CEF (en el paso 2), siga estas instrucciones para comprobar la conectividad entre la solución de seguridad y Azure Sentinel.Once you have deployed your log forwarder (in Step 1) and configured your security solution to send it CEF messages (in Step 2), follow these instructions to verify connectivity between your security solution and Azure Sentinel.

PrerrequisitosPrerequisites

  • Debe tener permisos elevados (sudo) en la máquina del reenviador de registros.You must have elevated permissions (sudo) on your log forwarder machine.

  • Debe tener instalado Python 2.7 o 3 en la máquina de reenvío de registros.You must have python 2.7 or 3 installed on your log forwarder machine.
    Use el comando python –version para comprobarlo.Use the python –version command to check.

  • En algún momento del proceso, es posible que necesite el id. del área de trabajo y la clave principal del área de trabajo.You may need the Workspace ID and Workspace Primary Key at some point in this process. Puede encontrarlos en el recurso del área de trabajo, en Administración de agentes.You can find them in the workspace resource, under Agents management.

Procedimientos para validar la conectividadHow to validate connectivity

  1. En el menú de navegación de Azure Sentinel, abra Registros.From the Azure Sentinel navigation menu, open Logs. Ejecute una consulta con el esquema CommonSecurityLog para ver si recibe registros de la solución de seguridad.Run a query using the CommonSecurityLog schema to see if you are receiving logs from your security solution.
    Tenga en cuenta que pueden transcurrir unos 20 minutos hasta que los registros empiecen a aparecer en Log Analytics.Be aware that it may take about 20 minutes until your logs start to appear in Log Analytics.

  2. Si no ve ningún resultado de la consulta, compruebe que se generan eventos en la solución de seguridad o intente generar algunos, y compruebe que se reenvían a la máquina del reenviador de Syslog que ha designado.If you don't see any results from the query, verify that events are being generated from your security solution, or try generating some, and verify they are being forwarded to the Syslog forwarder machine you designated.

  3. Ejecute el siguiente script en el reenviador de registros (aplicando el id. del área de trabajo en lugar del marcador de posición) para comprobar la conectividad entre la solución de seguridad, el reenviador de registros y Azure Sentinel.Run the following script on the log forwarder (applying the Workspace ID in place of the placeholder) to check connectivity between your security solution, the log forwarder, and Azure Sentinel. Este script comprueba que el demonio escucha en los puertos correctos, que el reenvío del demonio está configurado correctamente y que nada bloquee la comunicación entre el demonio y el agente de Log Analytics.This script checks that the daemon is listening on the correct ports, that the forwarding is properly configured, and that nothing is blocking communication between the daemon and the Log Analytics agent. También envía mensajes ficticios "TestCommonEventFormat" para comprobar la conectividad de un extremo a otro.It also sends mock messages 'TestCommonEventFormat' to check end-to-end connectivity.

    sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [WorkspaceID]
    
    • Es posible que reciba un mensaje que le indique que debe ejecutar un comando para corregir un problema con la **asignación del campo *Equipo***.You may get a message directing you to run a command to correct an issue with the mapping of the Computer field. Consulte la explicación en el script de validación para obtener más detalles.See the explanation in the validation script for details.

    • Es posible que reciba un mensaje que le indique que debe ejecutar un comando para corregir un problema con el análisis de los registros de firewall de Cisco ASA.You may get a message directing you to run a command to correct an issue with the parsing of Cisco ASA firewall logs. Consulte la explicación en el script de validación para obtener más detalles.See the explanation in the validation script for details.

Explicación del script de validaciónValidation script explained

El script de validación realiza las siguientes comprobaciones:The validation script performs the following checks:

  1. Comprueba que el archivoChecks that the file
    /etc/opt/microsoft/omsagent/[WorkspaceID]/conf/omsagent.d/security_events.conf
    existe y es válido.exists and is valid.

  2. Comprueba que el archivo incluye el texto siguiente:Checks that the file includes the following text:

    <source>
        type syslog
        port 25226
        bind 127.0.0.1
        protocol_type tcp
        tag oms.security
        format /(?<time>(?:\w+ +){2,3}(?:\d+:){2}\d+|\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}.[\w\-\:\+]{3,12}):?\s*(?:(?<host>[^: ]+) ?:?)?\s*(?<ident>.*CEF.+?(?=0\|)|%ASA[0-9\-]{8,10})\s*:?(?<message>0\|.*|.*)/
        <parse>
            message_format auto
        </parse>
    </source>
    
    <filter oms.security.**>
        type filter_syslog_security
    </filter>
    
  3. Comprueba que el análisis de los eventos del firewall de Cisco ASA esté configurado según lo previsto, con el siguiente comando:Checks that the parsing for Cisco ASA Firewall events is configured as expected, using the following command:

    grep -i "return ident if ident.include?('%ASA')" /opt/microsoft/omsagent/plugin/security_lib.rb
    
    • Si hay un problema con el análisis, el script generará un mensaje de error que le indicará que debe ejecutar manualmente el siguiente comando (debe agregar el id. del área de trabajo en lugar del marcador de posición).If there is an issue with the parsing, the script will produce an error message directing you to manually run the following command (applying the Workspace ID in place of the placeholder). El comando garantizará que el análisis se realice correctamente y reiniciará el agente.The command will ensure the correct parsing and restart the agent.

      # Cisco ASA parsing fix
      sed -i "s|return '%ASA' if ident.include?('%ASA')|return ident if ident.include?('%ASA')|g" /opt/microsoft/omsagent/plugin/security_lib.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
      
  4. Comprueba que el campo Equipo del origen de syslog se haya asignado correctamente en el agente de Log Analytics, mediante el siguiente comando:Checks that the Computer field in the syslog source is properly mapped in the Log Analytics agent, using the following command:

    grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb
    
    • Si hay un problema con la asignación, el script generará un mensaje de error que le indicará que debe ejecutar manualmente el siguiente comando (debe agregar el id. del área de trabajo en lugar del marcador de posición).If there is an issue with the mapping, the script will produce an error message directing you to manually run the following command (applying the Workspace ID in place of the placeholder). El comando garantizará que la asignación se realice correctamente y reiniciará el agente.The command will ensure the correct mapping and restart the agent.

      # Computer field mapping fix
      sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
      
  5. Comprueba si hay mejoras de seguridad en el equipo que podrían estar bloqueando el tráfico de red (por ejemplo, un firewall de host).Checks if there are any security enhancements on the machine that might be blocking network traffic (such as a host firewall).

  6. Comprueba que el demonio de syslog (rsyslog) esté configurado correctamente para enviar mensajes (que identifica como CEF) al agente de Log Analytics en el puerto TCP 25226:Checks that the syslog daemon (rsyslog) is properly configured to send messages (that it identifies as CEF) to the Log Analytics agent on TCP port 25226:

    • Archivo de configuración: /etc/rsyslog.d/security-config-omsagent.confConfiguration file: /etc/rsyslog.d/security-config-omsagent.conf

      if $rawmsg contains "CEF:" or $rawmsg contains "ASA-" then @@127.0.0.1:25226 
      
  7. Reinicia el demonio de syslog y el agente de Log Analytics:Restarts the syslog daemon and the Log Analytics agent:

    service rsyslog restart
    
    /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
    
  8. Comprueba que se han establecido las conexiones necesarias: TCP 514 para recibir datos, TCP 25226 para la comunicación interna entre el demonio de syslog y el agente de Log Analytics:Checks that the necessary connections are established: tcp 514 for receiving data, tcp 25226 for internal communication between the syslog daemon and the Log Analytics agent:

    netstat -an | grep 514
    
    netstat -an | grep 25226
    
  9. Comprueba que el demonio de syslog recibe datos en el puerto 514 y que el agente recibe datos en el puerto 25226:Checks that the syslog daemon is receiving data on port 514, and that the agent is receiving data on port 25226:

    sudo tcpdump -A -ni any port 514 -vv
    
    sudo tcpdump -A -ni any port 25226 -vv
    
  10. Envía datos ficticios al puerto 514 en localhost.Sends MOCK data to port 514 on localhost. Estos datos deben poderse observar en el área de trabajo de Azure Sentinel ejecutando la siguiente consulta:This data should be observable in the Azure Sentinel workspace by running the following query:

    CommonSecurityLog
    | where DeviceProduct == "MOCK"
    

Pasos siguientesNext steps

En este documento, ha aprendido a conectar dispositivos CEF a Azure Sentinel.In this document, you learned how to connect CEF appliances to Azure Sentinel. Para más información sobre Azure Sentinel, consulte los siguientes artículos:To learn more about Azure Sentinel, see the following articles: