Connectez votre solution externe à l’aide de SyslogConnect your external solution using Syslog

Vous pouvez connecter n’importe quelle appliance locale prenant en charge Syslog à Azure Sentinel.You can connect any on-premises appliance that supports Syslog to Azure Sentinel. C’est possible via un agent basé sur une machine Linux entre l’appliance et Azure Sentinel.This is done by using an agent based on a Linux machine between the appliance and Azure Sentinel. Si votre machine Linux est dans Azure, vous pouvez diffuser les journaux de votre appliance ou application vers un espace de travail dédié que vous créez dans Azure, avant de le connecter.If your Linux machine is in Azure, you can stream the logs from your appliance or application to a dedicated workspace you create in Azure and connect it. Si votre machine Azure n’est pas dans Azure, vous pouvez diffuser les journaux de votre appliance vers une machine virtuelle locale dédiée sur laquelle vous installez l’Agent pour Linux.If your Linux machine is not in Azure, you can stream the logs from your appliance to a dedicated on premises VM or machine onto which you install the Agent for Linux.

Notes

Si votre appliance prend en charge Syslog CEF, la connexion est plus complète et vous devez choisir cette option et suivre les instructions présentes dans Connexion des données à partir de CEF.If your appliance supports Syslog CEF, the connection is more complete and you should choose this option and follow the instructions in Connecting data from CEF.

FonctionnementHow it works

Syslog est un protocole de journalisation d’événements commun à Linux.Syslog is an event logging protocol that is common to Linux. Les applications envoient les messages qui peuvent être stockés sur l’ordinateur local ou remis à un collecteur Syslog.Applications will send messages that may be stored on the local machine or delivered to a Syslog collector. Lorsque l’agent Log Analytics pour Linux est installé, il configure le démon Syslog local pour qu’il transfère des messages à l’agent.When the Log Analytics agent for Linux is installed, it configures the local Syslog daemon to forward messages to the agent. L’agent envoie ensuite le message à Azure Monitor, où un enregistrement correspondant est créé.The agent then sends the message to Azure Monitor where a corresponding record is created.

Pour en savoir plus, voir Sources de données Syslog dans Azure Monitor.For more information, see Syslog data sources in Azure Monitor.

Notes

L’agent peut collecter les journaux à partir de plusieurs sources, mais doit être installé sur une machine proxy dédiée.The agent can collect logs from multiple sources, but must be installed on dedicated proxy machine.

Connecter votre appliance SyslogConnect your Syslog appliance

  1. Dans Azure Sentinel, sélectionnez Connecteurs de données, puis le connecteur Syslog.In Azure Sentinel, select Data connectors and then select the Syslog connector.

  2. Dans le panneau Syslog, sélectionnez Ouvrir la page du connecteur.On the Syslog blade, select Open connector page.

  3. Installez l’agent Linux :Install the Linux agent:

    • Si votre machine virtuelle Linux se trouve dans Azure, sélectionnez Download and install agent on Azure Linux virtual machine (Télécharger et installer l’agent sur la machine virtuelle Linux Azure).If your Linux virtual machine is in Azure, select Download and install agent on Azure Linux virtual machine. Dans le panneau Machines virtuelles, sélectionnez les machines virtuelles sur lesquelles installer l’agent, puis cliquez sur Connecter.In the Virtual machines blade, select the virtual machines to install the agent on, and then click Connect.
    • Si votre machine Linux ne se trouve pas dans Azure, sélectionnez Download and install agent on Linux non-Azure machine (Télécharger et installer l’agent sur la machine virtuelle Linux non-Azure).If your Linux machine isn't in Azure, select Download and install agent on Linux non-Azure machine. Dans le panneau Direct agent (Agent direct), copiez la commande Download and onboard agent for Linux (Télécharger et intégrer l’agent pour Linux), puis exécutez-la sur votre ordinateur.In the Direct agent blade, copy the command for DOWNLOAD AND ONBOARD AGENT FOR LINUX and run it on your computer.

    Notes

    Veillez à configurer les paramètres de sécurité pour ces ordinateurs conformément à la stratégie de sécurité de votre organisation.Make sure you configure security settings for these computers according to your organization's security policy. Par exemple, vous pouvez configurer les paramètres réseau de sorte qu’ils soient conformes à la stratégie de sécurité réseau de votre organisation, puis modifier les ports et les protocoles dans le démon pour les adapter aux exigences de sécurité.For example, you can configure the network settings to align with your organization's network security policy, and change the ports and protocols in the daemon to align with the security requirements.

  4. Sélectionnez Open your workspace advanced settings configuration (Ouvrir la configuration des paramètres avancés de votre espace de travail).Select Open your workspace advanced settings configuration.

  5. Dans le panneau Paramètres avancés, sélectionnez Données > Syslog.On the Advanced settings blade, select Data > Syslog. Ajoutez ensuite les installations du connecteur à collecter.Then add the facilities for the connector to collect.

    Ajoutez les installations que votre appliance Syslog inclut dans ses en-têtes de journal.Add the facilities that your syslog appliance includes in its log headers. Vous pouvez voir cette configuration dans votre appliance Syslog dans Syslog-d dans le dossier /etc/rsyslog.d/security-config-omsagent.conf et dans r-Syslog de /etc/syslog-ng/security-config-omsagent.conf.You can see this configuration in your Syslog appliance in Syslog-d in the /etc/rsyslog.d/security-config-omsagent.conf folder, and in r-Syslog from /etc/syslog-ng/security-config-omsagent.conf.

    Si vous souhaitez utiliser la détection de connexion SSH anormale avec les données que vous collectez, ajoutez auth et authpriv.If you want to use anomalous SSH login detection with the data that you collect, add auth and authpriv. Pour plus de détails, voir la section suivante.See the following section for additional details.

  6. Après avoir ajouté toutes les installations à surveiller et ajusté les options de gravité pour chacune d’elles, activez la case à cocher Appliquer la configuration ci-dessous à mes machines.When you have added all the facilities that you want to monitor, and adjusted any severity options for each one, select the checkbox Apply below configuration to my machines.

  7. Sélectionnez Enregistrer.Select Save.

  8. Sur votre appliance Syslog, assurez-vous que vous envoyez les installations que vous avez spécifiées.On your syslog appliance, make sure you're sending the facilities that you specified.

  9. Pour utiliser le schéma pertinent dans Azure Monitor pour les journaux Syslog, recherchez Syslog.To use the relevant schema in Azure Monitor for the syslog logs, search for Syslog.

  10. Vous pouvez utiliser la fonction Kusto décrite dans Utilisation de fonctions dans les requêtes de journal Azure Monitor pour analyser vos messages Syslog.You can use the Kusto function described in Using functions in Azure Monitor log queries to parse your Syslog messages. Vous pouvez ensuite les enregistrer sous la forme d’une nouvelle fonction de Log Analytics à utiliser comme nouveau type de données.You can then save them as a new Log Analytics function to use as a new data type.

Configurer le connecteur Syslog pour la détection de connexion SSH anormaleConfigure the Syslog connector for anomalous SSH login detection

Important

La détection de connexion SSH anormale est actuellement en préversion publique.Anomalous SSH login detection is currently in public preview. Cette fonctionnalité est fournie sans contrat de niveau de service et n’est pas recommandée pour des charges de travail en production.This feature is provided without a service level agreement, and it's not recommended for production workloads. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Azure Sentinel peut appliquer du Machine Learning aux données Syslog pour identifier une activité de connexion SSH (Secure Shell) anormale.Azure Sentinel can apply machine learning (ML) to the syslog data to identify anomalous Secure Shell (SSH) login activity. Il s’agit entre autres des scénarios suivants :Scenarios include:

  • Voyage impossible : lorsque deux événements de connexion réussis se produisent à partir de deux emplacements où il est impossible de se trouver dans l’intervalle de temps des deux événements de connexion.Impossible travel – when two successful login events occur from two locations that are impossible to reach within the timeframe of the two login events.
  • Emplacement inattendu : l’emplacement à partir duquel un événement de connexion réussi s’est produit est suspect.Unexpected location – the location from where a successful login event occurred is suspicious. Par exemple, l’emplacement n’a pas été observé récemment.For example, the location has not been seen recently.

Cette détection nécessite une configuration spécifique du connecteur de données Syslog :This detection requires a specific configuration of the Syslog data connector:

  1. Pour l’étape 5 de la procédure précédente, assurez- vous que auth et authpriv sont sélectionnés en tant qu’installations à surveiller.For step 5 in the previous procedure, make sure that both auth and authpriv are selected as facilities to monitor. Conservez les paramètres par défaut pour les options de gravité, afin qu’elles soient toutes sélectionnées.Keep the default settings for the severity options, so that they are all selected. Par exemple :For example:

    Installations requises pour la détection de connexion SSH anormaleFacilities required for anomalous SSH login detection

  2. Laissez suffisamment de temps pour la collecte des informations Syslog.Allow sufficient time for syslog information to be collected. Ensuite, accédez à Azure Sentinel - Logs, puis copiez et collez la requête suivante :Then, navigate to Azure Sentinel - Logs, and copy and paste the following query:

     Syslog |  where Facility in ("authpriv","auth")| extend c = extract( "Accepted\\s(publickey|password|keyboard-interactive/pam)\\sfor ([^\\s]+)",1,SyslogMessage)| where isnotempty(c) | count 
    

    Modifiez l’Intervalle de temps si nécessaire, puis sélectionnez Exécuter.Change the Time range if required, and select Run.

    Si le résultat obtenu est égal à zéro, vérifiez la configuration du connecteur et que les ordinateurs analysés ont une activité de connexion réussie pour la période que vous avez spécifiée pour votre requête.If the resulting count is zero, confirm the configuration of the connector and that the monitored computers do have successful login activity for the time period you specified for your query.

    Si le résultat est supérieur à zéro, vos données Syslog sont adaptées à la détection de connexion SSH anormale.If the resulting count is greater than zero, your syslog data is suitable for anomalous SSH login detection. Vous activez cette détection à partir de Analytique > Modèles de règle > Détection de connexion SSH anormale (préversion) .You enable this detection from Analytics > Rule templates > (Preview) Anomalous SSH Login Detection.

Étapes suivantesNext steps

Dans ce document, vous avez appris à connecter les appliances locales Syslog à Azure Sentinel.In this document, you learned how to connect Syslog on-premises appliances to Azure Sentinel. Pour en savoir plus sur Azure Sentinel, voir les articles suivants :To learn more about Azure Sentinel, see the following articles: