Connecter F5 à Azure SentinelConnect F5 to Azure Sentinel

Cet article explique comment connecter votre appliance F5 à Azure Sentinel.This article explains how to connect your F5 appliance to Azure Sentinel. Le connecteur de données F5 vous permet de connecter facilement vos journaux F5 à Azure Sentinel, de consulter des tableaux de bord, de créer des alertes personnalisées et d'améliorer les enquêtes.The F5 data connector allows you to easily connect your F5 logs with Azure Sentinel, to view dashboards, create custom alerts, and improve investigation. L'utilisation de F5 sur Azure Sentinel vous permettra d'obtenir davantage d'informations sur l'utilisation d'Internet au sein de votre organisation et améliorera ses fonctionnalités de sécurité.Using F5 on Azure Sentinel will provide you more insights into your organization’s Internet usage, and will enhance its security operation capabilities.

FonctionnementHow it works

Vous devez déployer un agent sur une machine Linux dédiée (machine virtuelle ou ordinateur local) afin de prendre en charge les communications entre F5 et Azure Sentinel.You need to deploy an agent on a dedicated Linux machine (VM or on premises) to support the communication between F5 and Azure Sentinel. Le diagramme suivant décrit la configuration dans le cas d'une machine virtuelle Linux dans Azure.The following diagram describes the setup in the event of a Linux VM in Azure.

CEF dans Azure

Cette configuration conviendra également si vous utilisez une machine virtuelle dans un autre cloud ou sur un ordinateur local.Alternatively, this setup will exist if you use a VM in another cloud, or an on-premises machine.

CEF local

Considérations relatives à la sécuritéSecurity considerations

Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organisation.Make sure to configure the machine's security according to your organization's security policy. Par exemple, vous pouvez configurer votre réseau de sorte qu’il s’accorde à la stratégie de sécurité de votre réseau d’entreprise, et modifier les ports et les protocoles dans le démon pour les adapter à vos besoins.For example, you can configure your network to align with your corporate network security policy and change the ports and protocols in the daemon to align with your requirements. Vous pouvez utiliser les instructions suivantes pour améliorer la configuration de la sécurité de votre machine :  Sécurisation de la machine virtuelle dans Azure, Bonnes pratiques pour la sécurité réseau.You can use the following instructions to improve your machine security configuration:  Secure VM in Azure, Best practices for Network security.

Pour utiliser la communication TLS entre la solution de sécurité et la machine Syslog, vous devez configurer le démon Syslog (rsyslog or syslog-ng) pour communiquer avec le TLS : Chiffrement du trafic Syslog avec TLS –rsyslog, Chiffrement des messages du journal avec TLS – syslog-ng.To use TLS communication between the security solution and the Syslog machine, you will need to configure the Syslog daemon (rsyslog or syslog-ng) to communicate in TLS: Encrypting Syslog Traffic with TLS -rsyslog, Encrypting log messages with TLS –syslog-ng.

PrérequisPrerequisites

Assurez-vous que la machine Linux que vous utilisez en tant que proxy exécute l'un des systèmes d'exploitation suivants :Make sure the Linux machine you use as a proxy is running one of the following operating systems:

  • 64 bits64-bit

    • CentOS 6 et 7CentOS 6 and 7
    • Amazon Linux 2017.09Amazon Linux 2017.09
    • Oracle Linux 6 et 7Oracle Linux 6 and 7
    • Red Hat Enterprise Linux Server 6 et 7Red Hat Enterprise Linux Server 6 and 7
    • Debian GNU/Linux 8 et 9Debian GNU/Linux 8 and 9
    • Ubuntu Linux 14.04 LTS, 16.04 LTS et 18.04 LTSUbuntu Linux 14.04 LTS, 16.04 LTS and 18.04 LTS
    • SUSE Linux Enterprise Server 12SUSE Linux Enterprise Server 12
  • 32 bits32-bit

    • CentOS 6CentOS 6
    • Oracle Linux 6Oracle Linux 6
    • Red Hat Enterprise Linux Server 6Red Hat Enterprise Linux Server 6
    • Debian GNU/Linux 8 et 9Debian GNU/Linux 8 and 9
    • Ubuntu Linux 14.04 LTS et 16.04 LTSUbuntu Linux 14.04 LTS and 16.04 LTS
  • Versions du démonDaemon versions

    • Syslog-ng : 2.1 - 3.22.1Syslog-ng: 2.1 - 3.22.1
    • Rsyslog : v8Rsyslog: v8
  • RFC Syslog pris en chargeSyslog RFCs supported

    • RFC Syslog 3164Syslog RFC 3164
    • RFC Syslog 5424Syslog RFC 5424

Assurez-vous que votre machine répond également aux exigences suivantes :Make sure your machine also meets the following requirements:

  • AutorisationsPermissions
    • Vous devez disposer d'autorisations élevées (sudo) sur votre machine.You must have elevated permissions (sudo) on your machine.
  • Configuration logicielle requiseSoftware requirements
    • Vérifiez que Python est en cours d'exécution sur votre machineMake sure you have Python running on your machine

ÉTAPE 1 : Déployer l’agentSTEP 1: Deploy the agent

Au cours de cette étape, vous devez sélectionner la machine Linux qui fera office de proxy entre Azure Sentinel et votre solution de sécurité.In this step, you need to select the Linux machine that will act as a proxy between Azure Sentinel and your security solution. Vous devez exécuter un script sur la machine proxy qui :You will have to run a script on the proxy machine that:

  • Installe l'agent Log Analytics et le configure en fonction des besoins pour écouter les messages Syslog sur le port 514 via TCP et envoyer les messages CEF à votre espace de travail Azure Sentinel.Installs the Log Analytics agent and configures it as needed to listen for Syslog messages on port 514 over TCP and send the CEF messages to your Azure Sentinel workspace.
  • Configure le démon Syslog pour transférer les messages CEF à l'agent Log Analytics via le port 25226.Configures the Syslog daemon to forward CEF messages to the Log Analytics agent using port 25226.
  • Configure l'agent Syslog pour collecter les données et les envoyer en toute sécurité à Log Analytics, où elles sont analysées et enrichies.Sets the Syslog agent to collect the data and send it securely to Log Analytics, where it is parsed and enriched.
  1. Dans le portail Azure Sentinel, cliquez sur Data Connectors (Connecteurs de données) et sélectionnez F5 (F5), puis Open Connector Page (Ouvrir la page du connecteur).In the Azure Sentinel portal, click Data connectors and select F5 and then Open connector page.

  2. Sous Installer et configurer l'agent Syslog, sélectionnez le type de votre machine (Azure, autre cloud ou locale).Under Install and configure the Syslog agent, select your machine type, either Azure, other cloud, or on-premises.

    Notes

    Étant donné que le script de l'étape suivante installe l'agent Log Analytics et connecte la machine à votre espace de travail Azure Sentinel, vérifiez que cette machine n'est pas connectée à un autre espace de travail.Because the script in the next step installs the Log Analytics agent and connects the machine to your Azure Sentinel workspace, make sure this machine is not connected to any other workspace.

  3. Vous devez disposer d'autorisations élevées (sudo) sur votre machine.You must have elevated permissions (sudo) on your machine. Vérifiez que vous disposez de Python sur votre machine à l'aide de la commande suivante : python –versionMake sure that you have Python on your machine using the following command: python –version

  4. Exécutez le script suivant sur votre machine proxy.Run the following script on your proxy machine. sudo wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [WorkspaceID] [Workspace Primary Key]

  5. Pendant l'exécution du script, vérifiez que vous ne recevez pas de messages d'erreur ou d'avertissement.While the script is running, check to make sure you don't get any error or warning messages.

ÉTAPE 2 : Configurer votre appliance F5 pour envoyer des messages CEFSTEP 2: Configure your F5 to send CEF messages

  1. Accédez à Configuration de la journalisation des événements de sécurité des applications et suivez les instructions pour configurer la journalisation à distance, en suivant les recommandations ci-dessous :Go to F5 Configuring Application Security Event Logging, and follow the instructions to set up remote logging, using the following guidelines:

    • Définissez le Type de stockage distant sur CEF.Set the Remote storage type to CEF.
    • Définissez le Protocole sur TCP.Set the Protocol to TCP.
    • Définissez l'adresse IP sur l'adresse IP du serveur Syslog.Set the IP address to the Syslog server IP address.
    • Définissez le numéro de port sur 514 ou le port que vous avez défini pour l'agent.Set the port number to 514, or the port you set your agent to use.
    • Vous pouvez définir la Taille maximale de chaîne de requête sur la taille que vous avez définie dans votre agent.You can set the Maximum Query String Size to the size you set in your agent.
  2. Pour utiliser le schéma pertinent dans Log Analytics pour les événements CEF, recherchez CommonSecurityLog.To use the relevant schema in Log Analytics for the CEF events, search for CommonSecurityLog.

ÉTAPE 3 : Valider la connectivitéSTEP 3: Validate connectivity

  1. Ouvrez Log Analytics pour vous assurer que les journaux sont reçus à l'aide du schéma CommonSecurityLog.Open Log Analytics to make sure that logs are received using the CommonSecurityLog schema.
    Plus de 20 minutes peuvent être nécessaires avant que vos journaux ne commencent à apparaître dans Log Analytics.It may take upwards of 20 minutes until your logs start to appear in Log Analytics.

  2. Avant d'exécuter le script, nous vous recommandons d'envoyer des messages à partir de votre solution de sécurité pour vous assurer qu'ils sont transmis à la machine proxy Syslog que vous avez configurée.Before you run the script, we recommend that you send messages from your security solution to make sure they are being forwarded to the Syslog proxy machine you configured.

  3. Vous devez disposer d'autorisations élevées (sudo) sur votre machine.You must have elevated permissions (sudo) on your machine. Vérifiez que vous disposez de Python sur votre machine à l'aide de la commande suivante : python –versionMake sure that you have Python on your machine using the following command: python –version

  4. Exécutez le script suivant pour vérifier la connectivité entre l'agent, Azure Sentinel et votre solution de sécurité.Run the following script to check connectivity between the agent, Azure Sentinel, and your security solution. Celui-ci vérifie que le transfert de démon est correctement configuré, écoute les ports appropriés et s'assure que rien ne bloque la communication entre le démon et l'agent Log Analytics.It checks that the daemon forwarding is properly configured, listens on the correct ports, and that nothing is blocking communication between the daemon and the Log Analytics agent. Le script envoie également des messages fictifs « TestCommonEventFormat » pour vérifier la connectivité de bout en bout.The script also sends mock messages 'TestCommonEventFormat' to check end-to-end connectivity.
    sudo wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py [WorkspaceID]

Étapes suivantesNext steps

Dans ce document, vous avez appris à connecter F5 à Azure Sentinel.In this document, you learned how to connect F5 to Azure Sentinel. Pour en savoir plus sur Azure Sentinel, voir les articles suivants :To learn more about Azure Sentinel, see the following articles: