Connessione dei prodotti per la sicurezza alla soluzione Sicurezza e controllo per Operations Management Suite (OMS)Connecting your security products to the Operations Management Suite (OMS) Security and Audit Solution

Questo documento consente di connettere i prodotti per la sicurezza alla soluzione Sicurezza e controllo per OMS.This document helps you connect your security products into the OMS Security and Audit Solution. Sono supportate le origini seguenti:The following sources are supported:

  • Eventi Common Event Format (CEF)Common Event Format (CEF) events
  • Eventi ASA CiscoCisco ASA events

Informazioni su CEFWhat is CEF?

Common Event Format (CEF) è un formato standard di settore su messaggi Syslog, usato da molti fornitori di soluzioni per la sicurezza per consentire l'interoperabilità degli eventi tra piattaforme diverse.Common Event Format (CEF) is an industry standard format on top of Syslog messages, used by many security vendors to allow event interoperability among different platforms. La soluzione Sicurezza e controllo per OMS supporta l'inserimento dei dati tramite CEF, che consente di connettere i prodotti per la sicurezza a OMS.OMS Security and Audit Solution support data ingestion using CEF, which enables you to connect your security products with OMS Security.

Tramite la connessione dell'origine dati a OMS, è possibile sfruttare le funzionalità seguenti che fanno parte della piattaforma:By connecting your data source to OMS, you are able to take advantage of the following capabilities that are part of this platform:

  • Ricerca e controlloSearch & Correlation
  • ControlloAuditing
  • AvvisoAlert
  • Intelligence per le minacceThreat Intelligence
  • Errori rilevantiNotable Issues

Raccolta di log di soluzioni per la sicurezzaCollection of security solution logs

La soluzione per la sicurezza per OMS supporta la raccolta di log tramite CEF sui log Syslog e ASA Cisco.OMS Security supports collection of logs using CEF over Syslogs and Cisco ASA logs. In questo esempio, l'origine (ossia il computer che genera i log) è un computer Linux che esegue il daemon syslog-ng e la destinazione è la soluzione per la sicurezza per OMS.In this example, the source (computer that generates the logs) is a Linux computer running syslog-ng daemon and the target is OMS Security. Per preparare il computer Linux, è necessario eseguire le attività seguenti:To prepare the Linux computer you will need to perform the following tasks:

  • Scaricare l'agente OMS per Linux, versione 1.2.0-25 o versione successiva.Download the OMS Agent for Linux, version 1.2.0-25 or above.
  • Per installare e caricare l'agente nell'area di lavoro, consultare la sezione Quick Install Guide (Guida all'installazione rapida) di questo articolo.Follow the section Quick Install Guide from this article to install and onboard the agent to your workspace.

In genere, l'agente è installato in un computer diverso da quello in cui vengono generati i log.Typically, the agent is installed on a different computer from the one on which the logs are generated. Per inoltrare i log al computer agente, vengono in genere richiesti i passaggi seguenti:Forwarding the logs to the agent machine will usually require the following steps:

  • Configurare il prodotto/computer di registrazione per inoltrare gli eventi necessari al daemon syslog (rsyslog o syslog-ng) nel computer agente.Configure the logging product/machine to forward the required events to the syslog daemon (rsyslog or syslog-ng) on the agent machine.
  • Abilitare il daemon syslog nel computer agente per ricevere messaggi da un sistema remoto.Enable the syslog daemon on the agent machine to receive messages from a remote system.

Nel computer agente gli eventi devono essere inviati dal daemon syslog alla porta UDP 25226 locale.On the agent machine, the events need to be sent from the syslog daemon to local UDP port 25226. L'agente è in attesa di eventi in ingresso su questa porta.The agent is listening for incoming events on this port. Di seguito è riportata una configurazione di esempio per l'invio di tutti gli eventi dal sistema locale all'agente (è possibile modificare la configurazione per adattarla alle proprie impostazioni locali):The following is an example configuration for sending all events from the local system to the agent (you can modify the configuration to fit your local settings):

  1. Aprire la finestra del terminale e passare alla directory /etc/syslog-ng/Open the terminal window, and go to the directory /etc/syslog-ng/
  2. Creare un nuovo file security-config-omsagent.conf e aggiungere il contenuto seguente: OMS_facility = local4Create a new file security-config-omsagent.conf and add the following content: OMS_facility = local4

    filter f_local4_oms { facility(local4); };filter f_local4_oms { facility(local4); };

    destination security_oms { tcp("127.0.0.1" port(25226)); };destination security_oms { tcp("127.0.0.1" port(25226)); };

    log { source(src); filter(f_local4_oms); destination(security_oms); };log { source(src); filter(f_local4_oms); destination(security_oms); };

  3. Scaricare il file security_events.conf e posizionarlo in /etc/opt/microsoft/omsagent/conf/omsagent.d/ nel computer agente OMS.Download the file security_events.conf and place at /etc/opt/microsoft/omsagent/conf/omsagent.d/ in the OMS Agent computer.

  4. Digitare il comando seguente per riavviare il daemon syslog: Per eseguire syslog-ng:Type the command below to restart the syslog daemon: For syslog-ng run:

    sudo service rsyslog restart
    

    Per eseguire rsyslog:For rsyslog run:

    /etc/init.d/syslog-ng restart
    
  5. Digitare il comando seguente per riavviare l'agente OMS:Type the command below to restart the OMS Agent:

    Per eseguire syslog-ng:For syslog-ng run:

    sudo service omsagent restart
    

    Per eseguire rsyslog:For rsyslog run:

    systemctl restart omsagent
    
  6. Digitare il comando seguente ed esaminare il risultato per verificare che non siano presenti errori nel log dell'agente OMS:Type the command below and review the result to confirm that there are no errors in the OMS Agent log:

    tail /var/opt/microsoft/omsagent/log/omsagent.log
    

Esaminare gli eventi di sicurezza raccoltiReviewing collected security events

Nota

Se l'area di lavoro è stata aggiornata al nuovo linguaggio di query di Log Analytics, è necessario convertire le query seguenti.If your workspace has been upgraded to the new Log Analytics query language, then the following queries need to be converted. È possibile usare il convertitore di linguaggio per eseguire questa conversione.You can use the language converter to perform this translation.

Al termine della configurazione, gli eventi di sicurezza inizieranno a essere acquisiti dalla soluzione per la sicurezza per OMS.After the configuration is over, the security event will start to be ingested by OMS Security. Per visualizzare tali eventi, aprire Ricerca log, digitare il comando Type=CommonSecurityLog nel campo di ricerca e premere INVIO.To visualize those events, open the Log Search, type the command Type=CommonSecurityLog in the search field and press ENTER. Nell'esempio seguente viene illustrato il risultato di questo comando. Si noti che la soluzione per la sicurezza per OMS in questo caso ha già acquisito i log per la sicurezza da più fornitori:The following example shows the result of this command, notice that in this case OMS Security already ingested security logs from multiple vendors:

Valutazione baseline di Sicurezza e controllo di OMS

È possibile perfezionare la ricerca per un unico fornitore. Ad esempio, per visualizzare i log online di Cisco, digitare: Type=CommonSecurityLog DeviceVendor=Cisco.You can refine this search for one single vendor, for example, to visualize online Cisco logs, type: Type=CommonSecurityLog DeviceVendor=Cisco. "CommonSecurityLog" ha campi predefiniti per qualsiasi intestazione CEF che include le estensioni di base, mentre un'altra estensione "Estensione personalizzata" o meno, verrà inserita nel campo "AdditionalExtensions".The “CommonSecurityLog” has predefined fields for any CEF header including the basic extensios, while any other extension whether it’s “Custom Extension” or not, will be inserted into "AdditionalExtensions" field. È possibile usare la funzionalità Campi personalizzati per recuperare i campi dedicati.You can use the Custom Fields feature to get dedicated fields from it.

Accesso ai computer senza valutazione baselineAccessing computers missing baseline assessment

OMS supporta il profilo baseline dei membri di dominio in Windows Server 2008 R2 fino a Windows Server 2012 R2.OMS supports the domain member baseline profile on Windows Server 2008 R2 up to Windows Server 2012 R2. La baseline di Windows Server 2016 non è ancora definitiva e verrà aggiunta non appena pubblicata.Windows Server 2016 baseline isn’t final yet and will be added as soon as it is published. Tutti i sistemi operativi analizzati tramite la valutazione baseline della soluzione Sicurezza e controllo per OMS vengono visualizzati nella sezione Computer senza valutazione baseline.All other operating systems scanned via OMS Security and Audit baseline assessment appear under the Computers missing baseline assessment section.

Vedere ancheSee also

In questo documento è stato descritto come connettere la soluzione CEF a OMS.In this document, you learned how to connect your CEF solution to OMS. Per altre informazioni sulle funzionalità di OMS per la sicurezza, vedere gli articoli seguenti:To learn more about OMS Security, see the following articles: