Conexión de su solución externa con Common Event FormatConnect your external solution using Common Event Format

Al conectar una solución externa que envía mensajes de CEF, hay tres pasos para conectarse con Azure Sentinel:When you connect an external solution that sends CEF messages, there are three steps to connecting with Azure Sentinel:

PASO 1: Conecte CEF implementando un reenviador de Syslog/CEF PASO 2: Seguir los pasos específicos para la solución PASO 3: Comprobar la conectividadSTEP 1: Connect CEF by deploying a Syslog/CEF forwarder STEP 2: Perform solution-specific steps STEP 3: Verify connectivity

En este artículo se describe el funcionamiento de la conexión, se enumeran los requisitos previos y se muestran los pasos para implementar un mecanismo con soluciones de seguridad que envía mensajes de formato de evento común (CEF) además de Syslog.This article describes how the connection works, lists prerequisites, and shows the steps for deploying a mechanism for security solutions to send Common Event Format (CEF) messages on top of Syslog.

Nota

Los datos se almacenan en la ubicación geográfica del área de trabajo en la que se ejecute Azure Sentinel.Data is stored in the geographic location of the workspace on which you are running Azure Sentinel.

Para establecer esta conexión, debe implementar un servidor de reenviador Syslog para admitir la comunicación entre el dispositivo y Azure Sentinel.In order to make this connection, you need to deploy a Syslog Forwarder server to support the communication between the appliance and Azure Sentinel. El servidor consta de una máquina Linux dedicada (VM o local) con el agente de Log Analytics para Linux instalado.The server consists of a dedicated Linux machine (VM or on-premises) with the Log Analytics agent for Linux installed.

En el siguiente diagrama se describe la configuración en el caso de una máquina virtual Linux en Azure:The following diagram describes the setup in the case of a Linux VM in Azure:

CEF en Azure

Esta configuración también existirá si usa una VM en otra nube o en una máquina local:Alternatively, this setup will exist if you use a VM in another cloud, or an on-premises machine:

CEF local

Consideraciones sobre la seguridadSecurity considerations

Asegúrese de configurar la seguridad de la máquina de acuerdo con la directiva de seguridad de su organización.Make sure to configure the machine's security according to your organization's security policy. Por ejemplo, puede configurar la red para que se alinee con la directiva de seguridad de la red corporativa y cambiar los puertos y protocolos del demonio para que se adapten a sus requisitos.For example, you can configure your network to align with your corporate network security policy and change the ports and protocols in the daemon to align with your requirements. Puede usar las siguientes instrucciones para mejorar la configuración de seguridad de la máquina: Protección de VM en Azure, Prácticas recomendadas para la seguridad de red.You can use the following instructions to improve your machine security configuration: Secure VM in Azure, Best practices for Network security.

Para usar la comunicación TLS entre el origen y el reenviador de Syslog, debe configurar el demonio de Syslog (rsyslog o syslog-ng) para que se comunique en TLS: Cifrado del tráfico de Syslog con TLS -rsyslog, Cifrado de los mensajes de registro con TLS –syslog-ng.To use TLS communication between the Syslog source and the Syslog Forwarder, you will need to configure the Syslog daemon (rsyslog or syslog-ng) to communicate in TLS: Encrypting Syslog Traffic with TLS -rsyslog, Encrypting log messages with TLS –syslog-ng.

Requisitos previosPrerequisites

Asegúrese de que la máquina Linux que usa como reenviador de registros ejecuta alguno de los siguientes sistemas operativos:Make sure the Linux machine you use as a log forwarder is running one of the following operating systems:

  • 64 bits64-bit

    • CentOS 7 y 8, incluidas las versiones secundarias (no la 6)CentOS 7 and 8, including minor versions (not 6)
    • Amazon Linux 2017.09Amazon Linux 2017.09
    • Oracle Linux 7Oracle Linux 7
    • Red Hat Enterprise Linux (RHEL) Server 7 y 8, incluidas las versiones secundarias (no la 6)Red Hat Enterprise Linux (RHEL) Server 7 and 8, including minor versions (not 6)
    • Debian GNU/Linux 8 y 9Debian GNU/Linux 8 and 9
    • Ubuntu Linux 14.04 LTS, 16.04 LTS y 18.04 LTSUbuntu Linux 14.04 LTS, 16.04 LTS, and 18.04 LTS
    • SUSE Linux Enterprise Server 12, 15SUSE Linux Enterprise Server 12, 15
  • 32 bits32-bit

    • CentOS 7 y 8, incluidas las versiones secundarias (no la 6)CentOS 7 and 8, including minor versions (not 6)
    • Oracle Linux 7Oracle Linux 7
    • Red Hat Enterprise Linux (RHEL) Server 7 y 8, incluidas las versiones secundarias (no la 6)Red Hat Enterprise Linux (RHEL) Server 7 and 8, including minor versions (not 6)
    • Debian GNU/Linux 8 y 9Debian GNU/Linux 8 and 9
    • Ubuntu Linux 14.04 LTS y 16.04 LTSUbuntu Linux 14.04 LTS and 16.04 LTS
  • Versiones de demonioDaemon versions

    • Syslog-ng: 2.1 - 3.22.1Syslog-ng: 2.1 - 3.22.1
    • Rsyslog: v8Rsyslog: v8
  • RFC de Syslog compatiblesSyslog RFCs supported

    • Syslog RFC 3164Syslog RFC 3164
    • RFC de Syslog 5424Syslog RFC 5424

Asegúrese de que la máquina cumpla también con los requisitos siguientes:Make sure your machine also meets the following requirements:

  • PermisosPermissions

    • Debe tener permisos elevados (sudo) en la máquina.You must have elevated permissions (sudo) on your machine.
  • Requisitos de softwareSoftware requirements

    • Asegúrese de que Python 2.7 o 3 se esté ejecutando en la máquina.Make sure you have python 2.7 or 3 running on your machine.

Pasos siguientesNext steps

En este documento ha aprendido cómo recopila Azure Sentinel los registros de CEF de los dispositivos y las soluciones de seguridad.In this document, you learned how Azure Sentinel collects CEF logs from security solutions and appliances. Para obtener información sobre cómo conectar la solución a Azure Sentinel, vea los siguientes artículos:To learn how to connect your solution to Azure Sentinel, see the following articles:

Para obtener más información sobre qué hacer con los datos recopilados en Azure Sentinel, vea los siguientes artículos:To learn more about what to do with the data you've collected in Azure Sentinel, see the following articles: