Connectez votre solution externe en utilisant le connecteur CEF

  • 5 minutes

Vous devez désigner et configurer la machine Linux qui doit transférer les journaux de votre solution de sécurité vers votre espace de travail Microsoft Sentinel. Cet ordinateur peut être une machine physique ou virtuelle dans votre environnement local, une machine virtuelle Azure ou une machine virtuelle dans un autre cloud. À l’aide du lien fourni, vous allez exécuter un script sur l’ordinateur désigné qui effectue les tâches suivantes :

Installe l’agent Log Analytics pour Linux (également appelé agent OMS) et le configure aux fins suivantes :

  • Écoute des messages CEF à partir du démon Syslog Linux intégré sur le port TCP 25226

  • Envoi sécurisé des messages via le protocole TLS à votre espace de travail Microsoft Sentinel, où ils sont analysés et enrichis

Configure le démon Syslog Linux intégré (rsyslog.d/syslog-ng) aux fins suivantes :

  • Écoute des messages Syslog de vos solutions de sécurité sur le port TCP 514

  • Transfert uniquement des messages qu’il identifie comme CEF à l’agent Log Analytics sur localhost à l’aide du port TCP 25226

Exécuter le script de déploiement

Pour afficher la page connecteur :

  1. Sélectionnez la page des connecteurs de données.

  2. Sélectionnez Common Event Format (CEF).

  3. Sélectionnez la page « Ouvrir le connecteur » dans le volet de visualisation.

  4. Vérifiez que vous disposez des autorisations appropriées, comme décrit dans la section Conditions préalables.

  5. Copiez la commande « sudo wget… », puis exécutez-la avec élévation de privilèges sur la machine virtuelle Linux dédiée.

Screenshot of the C E F Connector Page.

Utilisation du même ordinateur pour transférer à la fois des messages Syslog et des messages CEF

Si vous envisagez d’utiliser cette machine de transfert de journaux pour transférer des messages Syslog ainsi que des messages CEF, afin d’éviter la duplication des événements dans les tables Syslog et CommonSecurityLog :

Sur chaque machine source qui envoie des journaux au redirecteur au format CEF, vous devez modifier le fichier config Syslog pour supprimer les fonctionnalités utilisées pour envoyer des messages CEF.