Connectez votre solution externe en utilisant le format CEFConnect your external solution using Common Event Format

Cet article explique comment connecter Azure Sentinel à vos solutions de sécurité externes qui envoient des messages au format CEF (Common Event Format) sur Syslog.This article explains how to connect Azure Sentinel with your external security solutions that send Common Event Format (CEF) messages on top of Syslog.

Notes

Les données sont stockées dans l’emplacement géographique de l’espace de travail sur lequel vous exécutez Azure Sentinel.Data is stored in the geographic location of the workspace on which you are running Azure Sentinel.

FonctionnementHow it works

Vous devez déployer un agent sur une machine Linux dédiée (machine virtuelle ou ordinateur local) afin de prendre en charge les communications entre l’appliance et Azure Sentinel.You need to deploy an agent on a dedicated Linux machine (VM or on premises) to support the communication between the appliance and Azure Sentinel. Le diagramme suivant décrit la configuration dans le cas d’une machine virtuelle Linux dans Azure.The following diagram describes the setup in the event of a Linux VM in Azure.

CEF dans Azure

Cette configuration existe également si vous utilisez une machine virtuelle dans un autre cloud ou bien une machine locale.Alternatively, this setup will exist if you use a VM in another cloud, or an on-premises machine.

CEF local

Considérations relatives à la sécuritéSecurity considerations

Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organisation.Make sure to configure the machine's security according to your organization's security policy. Par exemple, vous pouvez configurer votre réseau de sorte qu’il s’accorde à la stratégie de sécurité de votre réseau d’entreprise, et modifier les ports et les protocoles dans le démon pour les adapter à vos besoins.For example, you can configure your network to align with your corporate network security policy and change the ports and protocols in the daemon to align with your requirements. Vous pouvez utiliser les instructions suivantes pour améliorer la configuration de la sécurité de votre machine :  Sécurisation de la machine virtuelle dans Azure, Bonnes pratiques pour la sécurité réseau.You can use the following instructions to improve your machine security configuration:  Secure VM in Azure, Best practices for Network security.

Pour utiliser la communication TLS entre la solution de sécurité et la machine Syslog, vous devez configurer le démon Syslog (rsyslog or syslog-ng) pour communiquer avec le TLS : Chiffrement du trafic Syslog avec TLS –rsyslog, Chiffrement des messages du journal avec TLS – syslog-ng.To use TLS communication between the security solution and the Syslog machine, you will need to configure the Syslog daemon (rsyslog or syslog-ng) to communicate in TLS: Encrypting Syslog Traffic with TLS -rsyslog, Encrypting log messages with TLS –syslog-ng.

PrérequisPrerequisites

Assurez-vous que la machine Linux que vous utilisez comme proxy exécute l’un des systèmes d’exploitation suivants :Make sure the Linux machine you use as a proxy is running one of the following operating systems:

  • 64 bits64-bit

    • CentOS 6 et 7CentOS 6 and 7
    • Amazon Linux 2017.09Amazon Linux 2017.09
    • Oracle Linux 6 et 7Oracle Linux 6 and 7
    • Red Hat Enterprise Linux Server 6 et 7Red Hat Enterprise Linux Server 6 and 7
    • Debian GNU/Linux 8 et 9Debian GNU/Linux 8 and 9
    • Ubuntu Linux 14.04 LTS, 16.04 LTS et 18.04 LTSUbuntu Linux 14.04 LTS, 16.04 LTS and 18.04 LTS
    • SUSE Linux Enterprise Server 12SUSE Linux Enterprise Server 12
  • 32 bits32-bit

    • CentOS 6CentOS 6
    • Oracle Linux 6Oracle Linux 6
    • Red Hat Enterprise Linux Server 6Red Hat Enterprise Linux Server 6
    • Debian GNU/Linux 8 et 9Debian GNU/Linux 8 and 9
    • Ubuntu Linux 14.04 LTS et 16.04 LTSUbuntu Linux 14.04 LTS and 16.04 LTS
  • Versions de démonDaemon versions

    • Syslog-ng : 2.1 - 3.22.1Syslog-ng: 2.1 - 3.22.1
    • Rsyslog : v8Rsyslog: v8
  • Syslog RFC pris en chargeSyslog RFCs supported

    • Syslog RFC 3164Syslog RFC 3164
    • Syslog RFC 5424Syslog RFC 5424

Assurez-vous que votre machine remplit également les exigences suivantes :Make sure your machine also meets the following requirements:

  • AutorisationsPermissions
    • Vous devez avoir des autorisations élevées (sudo) sur votre machine.You must have elevated permissions (sudo) on your machine.
  • Configuration logicielle requiseSoftware requirements
    • Vérifiez que Python est en cours d’exécution sur votre machineMake sure you have Python running on your machine

ÉTAPE 1 : Déployer l’agentSTEP 1: Deploy the agent

Au cours de cette étape, vous devez sélectionner la machine Linux qui fera office de proxy entre Azure Sentinel et votre solution de sécurité.In this step, you need to select hte Linux machine that will act as a proxy between Azure Sentinel and your security solution. Vous devez exécuter un script sur la machine proxy qui :You will have to run a script on the proxy machine that:

  • Installe l’agent Log Analytics et le configure en fonction des besoins pour écouter les messages Syslog sur le port 514 sur TCP et envoyer les messages CEF à votre espace de travail Azure Sentinel.Installs the Log Analytics agent and configures it as needed to listen for Syslog messages on port 514 over TCP and send the CEF messages to your Azure Sentinel workspace.
  • Configure le démon Syslog pour transférer les messages CEF à l’agent Log Analytics via le port 25226.Configures the Syslog daemon to forward CEF messages to the Log Analytics agent using port 25226.
  • Configure l’agent Syslog pour collecter les données et les envoyer de manière sécurisée à Log Analytics, où elles sont analysées et enrichies.Sets the Syslog agent to collect the data and send it securely to Log Analytics, where it is parsed and enriched.
  1. Dans le portail Azure Sentinel, cliquez sur Data Connectors (Connecteurs de données) et sélectionnez Common Event Format (CEF) puis Open connector page (Ouvrir la page du connecteur).In the Azure Sentinel portal, click Data connectors and select Common Event Format (CEF) and then Open connector page.

  2. Sous Installer et configurer l’agent Syslog, sélectionnez le type de votre machine (Azure, autre cloud ou locale).Under Install and configure the Syslog agent, select your machine type, either Azure, other cloud, or on-premises.

    Notes

    Étant donné que le script de l’étape suivante installe l’agent Log Analytics et connecte la machine à votre espace de travail Azure Sentinel, vérifiez que cette machine n’est pas connectée à un autre espace de travail.Because the script in the next step installs the Log Analytics agent and connects the machine to your Azure Sentinel workspace, make sure this machine is not connected to any other workspace.

  3. Vous devez avoir des autorisations élevées (sudo) sur votre machine.You must have elevated permissions (sudo) on your machine. Vérifiez que vous disposez de Python sur votre machine à l’aide de la commande suivante : python –versionMake sure that you have Python on your machine using the following command: python –version

  4. Exécutez le script suivant sur votre machine proxy.Run the following script on your proxy machine. sudo wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [WorkspaceID] [Workspace Primary Key]

  5. Pendant l’exécution du script, vérifiez que vous ne recevez pas de messages d’erreur ou d’avertissement.While the script is running, check to make sure you don't get any error or warning messages.

ÉTAPE 2 : Configurer votre solution de sécurité pour envoyer des messages CEFSTEP 2: Configure your security solution to send CEF messages

  1. Sur l’appliance, vous devez définir ces valeurs pour que l’appliance envoie les journaux nécessaires dans le format approprié à l’agent Azure Sentinel Syslog, en fonction de l’agent Log Analytics.On the appliance you need to set these values so that the appliance sends the necessary logs in the necessary format to the Azure Sentinel Syslog agent, based on the Log Analytics agent. Vous pouvez modifier ces paramètres dans votre appliance, à condition de les modifier également dans le démon Syslog sur l'agent Azure Sentinel.You can modify these parameters in your appliance, as long as you also modify them in the Syslog daemon on the Azure Sentinel agent.

    • Protocole = TCPProtocol = TCP
    • Port = 514Port = 514
    • Format = CEFFormat = CEF
    • Adresse IP : assurez-vous d’envoyer les messages CEF à l’adresse IP de la machine virtuelle dédiée à cet effet.IP address - make sure to send the CEF messages to the IP address of the virtual machine you dedicated for this purpose.

    Notes

    Cette solution prend en charge Syslog RFC 3164 ou RFC 5424.This solution supports Syslog RFC 3164 or RFC 5424.

  2. Pour utiliser le schéma pertinent dans Log Analytics pour les événements CEF, recherchez CommonSecurityLog.To use the relevant schema in Log Analytics for the CEF events, search for CommonSecurityLog.

ÉTAPE 3 : Valider la connectivitéSTEP 3: Validate connectivity

  1. Ouvrez Log Analytics pour vous assurer que les journaux sont reçus avec le schéma CommonSecurityLog.Open Log Analytics to make sure that logs are received using the CommonSecurityLog schema.
    Plus de 20 minutes peuvent être nécessaires avant que vos journaux ne commencent à apparaître dans Log Analytics.It may take upwards of 20 minutes until your logs start to appear in Log Analytics.

  2. Avant d’exécuter le script, nous vous conseillons d’envoyer quelques messages à partir de votre solution de sécurité pour vérifier qu’ils sont bien transmis à la machine proxy Syslog que vous avez configurée.Before you run the script, we recommend that you send messages from your security solution to make sure they are being forwarded to the Syslog proxy machine you configured.

  3. Vous devez avoir des autorisations élevées (sudo) sur votre machine.You must have elevated permissions (sudo) on your machine. Vérifiez que vous disposez de Python sur votre machine à l’aide de la commande suivante : python –versionMake sure that you have Python on your machine using the following command: python –version

  4. Exécutez le script suivant pour vérifier la connectivité entre l’agent, Azure Sentinel et votre solution de sécurité.Run the following script to check connectivity between the agent, Azure Sentinel, and your security solution. Le script vérifie que le transfert par le démon est correctement configuré, que le démon écoute sur les ports appropriés et que rien ne bloque la communication entre le démon et l’agent Log Analytics.It checks that the daemon forwarding is properly configured, listens on the correct ports, and that nothing is blocking communication between the daemon and the Log Analytics agent. Le script envoie également des messages fictifs « TestCommonEventFormat » pour vérifier la connectivité de bout en bout.The script also sends mock messages 'TestCommonEventFormat' to check end-to-end connectivity.
    sudo wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [WorkspaceID]

Étapes suivantesNext steps

Dans ce document, vous avez appris à connecter les appliances CEF à Azure Sentinel.In this document, you learned how to connect CEF appliances to Azure Sentinel. Pour en savoir plus sur Azure Sentinel, voir les articles suivants :To learn more about Azure Sentinel, see the following articles: