Planifier un connecteur Common Event Format

  • 6 minutes

Le connecteur CEF déploie un serveur Syslog Forwarder pour prendre en charge la communication entre l’appliance et Microsoft Sentinel. Le serveur se compose d’une machine Linux dédiée sur laquelle l’agent Log Analytics pour Linux est installé. De nombreux connecteurs de données Microsoft Sentinel qui sont spécifiques au fournisseur utilisent le connecteur CEF.

Le diagramme suivant montre la configuration d’une machine virtuelle Linux dans Azure. Les sources Syslog locales envoient des événements de manière sécurisée à une machine virtuelle Linux Azure. La machine virtuelle Linux sur laquelle est installé l’agent Log Analytics transmet ensuite les journaux à l’espace de travail Microsoft Sentinel.

Diagram of the Azure VM hosting Syslog connector architecture.

Le diagramme suivant présente la configuration pour machine virtuelle dans un autre cloud ou une machine sur site. Les sources Syslog locales envoient des événements de façon sécurisée à une machine virtuelle Linux. La machine virtuelle Linux sur laquelle est installé l’agent Log Analytics transmet ensuite les journaux à l’espace de travail Microsoft Sentinel de façon sécurisée.

Diagram of the on-premises Syslog connector architecture.

Considérations relatives à la sécurité

Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organisation. Par exemple, vous pouvez configurer votre réseau de façon à l’aligner avec la stratégie de sécurité réseau de votre entreprise en changeant les ports et protocoles du démon.

Pour utiliser la communication TLS entre la source Syslog et le redirecteur Syslog, vous devez configurer le démon Syslog (rsyslog ou syslog-ng) pour qu’il communique dans TLS.

Prérequis

Assurez-vous que la machine Linux que vous utilisez en tant que redirecteur de journaux exécute l’un des systèmes d’exploitation suivants :

  • 64 bits

    • CentOS 7 et 8, y compris les versions mineures (pas la version 6)

    • Amazon Linux 2017.09

    • Oracle Linux 7

    • Red Hat Enterprise Linux (RHEL) Server 7 et 8, y compris les versions mineures (pas la version 6)

    • Debian GNU/Linux 8 et 9

    • Ubuntu Linux 14.04 LTS, 16.04 LTS et 18.04 LTS

    • SUSE Linux Enterprise Server 12 et15

  • 32 bits

    • CentOS 7 et 8, y compris les versions mineures (pas la version 6)

    • Oracle Linux 7

    • Red Hat Enterprise Linux (RHEL) Server 7 et 8, y compris les versions mineures (pas la version 6)

    • Debian GNU/Linux 8 et 9

    • Ubuntu Linux 14.04 LTS et 16.04 LTS

    • Versions du démon

    • Syslog-ng : 2.1 - 3.22.1

    • Rsyslog : v8

    • RFC Syslog pris en charge

    • RFC Syslog 3164

    • RFC Syslog 5424

Assurez-vous que votre machine répond également aux exigences suivantes :

Autorisations

  • Vous devez disposer d’autorisations élevées (sudo) sur votre machine.

Configuration logicielle requise

  • Vérifiez que Python 2.7 ou 3 est en cours d’exécution sur votre machine.