Connectez votre solution externe en utilisant le format CEFConnect your external solution using Common Event Format

Lorsque vous connectez une solution externe qui envoie des messages CEF, il existe trois étapes pour la connexion à Azure Sentinel :When you connect an external solution that sends CEF messages, there are three steps to connecting with Azure Sentinel:

ÉTAPE 1 : Connectez CEF en déployant l’agent ÉTAPE 2 : Effectuez les étapes spécifiques à la solution ÉTAPE 3 : Vérifiez la connectivitéSTEP 1: Connect CEF by deploying the agent STEP 2: Perform solution-specific steps STEP 3: Verify connectivity

Cet article décrit le fonctionnement de la connexion, fournit les conditions préalables et vous donne la procédure de déploiement de l’agent sur les solutions de sécurité qui envoient des messages CEF (Common Event format) à syslog.This article describes how the connection works, provides prerequisites and gives you the steps for deploying the agent on security solutions that send Common Event Format (CEF) messages on top of Syslog.

Notes

Les données sont stockées dans l’emplacement géographique de l’espace de travail sur lequel vous exécutez Azure Sentinel.Data is stored in the geographic location of the workspace on which you are running Azure Sentinel.

Pour établir cette connexion, vous devez déployer un agent sur une machine Linux dédiée (machine virtuelle ou locale) pour prendre en charge la communication entre l’appliance et Azure Sentinel.In order to make this connection, you need to deploy an agent on a dedicated Linux machine (VM or on premises) to support the communication between the appliance and Azure Sentinel. Le diagramme suivant décrit la configuration dans le cas d’une machine virtuelle Linux dans Azure.The following diagram describes the setup in the event of a Linux VM in Azure.

CEF dans Azure

Cette configuration conviendra également si vous utilisez une machine virtuelle dans un autre cloud ou sur un ordinateur local.Alternatively, this setup will exist if you use a VM in another cloud, or an on-premises machine.

CEF local

Considérations relatives à la sécuritéSecurity considerations

Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organisation.Make sure to configure the machine's security according to your organization's security policy. Par exemple, vous pouvez configurer votre réseau de sorte qu’il s’accorde à la stratégie de sécurité de votre réseau d’entreprise, et modifier les ports et les protocoles dans le démon pour les adapter à vos besoins.For example, you can configure your network to align with your corporate network security policy and change the ports and protocols in the daemon to align with your requirements. Vous pouvez utiliser les instructions suivantes pour améliorer la configuration de la sécurité de votre machine :  Sécurisation de la machine virtuelle dans Azure, Bonnes pratiques pour la sécurité réseau.You can use the following instructions to improve your machine security configuration:  Secure VM in Azure, Best practices for Network security.

Pour utiliser la communication TLS entre la solution de sécurité et la machine Syslog, vous devez configurer le démon Syslog (rsyslog or syslog-ng) pour communiquer avec le TLS : Chiffrement du trafic Syslog avec TLS –rsyslog, Chiffrement des messages du journal avec TLS – syslog-ng.To use TLS communication between the security solution and the Syslog machine, you will need to configure the Syslog daemon (rsyslog or syslog-ng) to communicate in TLS: Encrypting Syslog Traffic with TLS -rsyslog, Encrypting log messages with TLS –syslog-ng.

Conditions préalables requisesPrerequisites

Assurez-vous que la machine Linux que vous utilisez en tant que proxy exécute l’un des systèmes d’exploitation suivants :Make sure the Linux machine you use as a proxy is running one of the following operating systems:

  • 64 bits64-bit

    • CentOS 6 et 7CentOS 6 and 7
    • Amazon Linux 2017.09Amazon Linux 2017.09
    • Oracle Linux 6 et 7Oracle Linux 6 and 7
    • Red Hat Enterprise Linux Server 6 et 7Red Hat Enterprise Linux Server 6 and 7
    • Debian GNU/Linux 8 et 9Debian GNU/Linux 8 and 9
    • Ubuntu Linux 14.04 LTS, 16.04 LTS et 18.04 LTSUbuntu Linux 14.04 LTS, 16.04 LTS and 18.04 LTS
    • SUSE Linux Enterprise Server 12SUSE Linux Enterprise Server 12
  • 32 bits32-bit

    • CentOS 6CentOS 6
    • Oracle Linux 6Oracle Linux 6
    • Red Hat Enterprise Linux Server 6Red Hat Enterprise Linux Server 6
    • Debian GNU/Linux 8 et 9Debian GNU/Linux 8 and 9
    • Ubuntu Linux 14.04 LTS et 16.04 LTSUbuntu Linux 14.04 LTS and 16.04 LTS
  • Versions du démonDaemon versions

    • Syslog-ng : 2.1 - 3.22.1Syslog-ng: 2.1 - 3.22.1
    • Rsyslog : v8Rsyslog: v8
  • RFC Syslog pris en chargeSyslog RFCs supported

    • RFC Syslog 3164Syslog RFC 3164
    • RFC Syslog 5424Syslog RFC 5424

Assurez-vous que votre machine répond également aux exigences suivantes :Make sure your machine also meets the following requirements:

  • AutorisationsPermissions
    • Vous devez disposer d’autorisations élevées (sudo) sur votre machine.You must have elevated permissions (sudo) on your machine.
  • Configuration logicielle requiseSoftware requirements
    • Vérifiez que Python est en cours d’exécution sur votre machineMake sure you have Python running on your machine

Étapes suivantesNext steps

Dans ce document, vous avez appris à connecter les appliances CEF à Azure Sentinel.In this document, you learned how to connect CEF appliances to Azure Sentinel. Pour en savoir plus sur Azure Sentinel, voir les articles suivants :To learn more about Azure Sentinel, see the following articles: