Inserire messaggi Syslog e CEF in Microsoft Sentinel con l'agente di Monitoraggio di Azure
Questo articolo descrive come usare Syslog tramite AMA e Common Event Format (CEF) tramite connettori AMA per filtrare e inserire rapidamente messaggi Syslog, inclusi i messaggi in Common Event Format (CEF), da computer Linux e da dispositivi e dispositivi di sicurezza di rete e dispositivi e appliance. Per altre informazioni su questi connettori dati, vedere Syslog e Common Event Format (CEF) tramite connettori AMA per Microsoft Sentinel.
Prerequisiti
Prima di iniziare, è necessario avere le risorse configurate e le autorizzazioni appropriate descritte in questa sezione.
Prerequisiti di Microsoft Sentinel
Per Microsoft Sentinel, installare la soluzione appropriata e assicurarsi di avere le autorizzazioni necessarie per completare i passaggi descritti in questo articolo.
Installare la soluzione appropriata: Syslog e/o Common Event Format dall'hub contenuto in Microsoft Sentinel. Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel.
L'account Azure deve avere i ruoli di controllo degli accessi in base al ruolo di Azure seguenti:
Ruolo predefinito Ambito Motivo - Collaboratore macchine virtuali
- Computer Connessione ed di Azure
Resource Amministrazione istrator- Macchine virtuali (VM)
- Set di scalabilità di macchine virtuali
- Server con abilitazione di Azure Arc
Per distribuire l'agente Qualsiasi ruolo che include l'azione
Microsoft.Resources/deployments/*- Subscription
- Gruppo di risorse
- Regola di raccolta dati esistente
Per distribuire modelli di Azure Resource Manager Collaboratore al monitoraggio - Subscription
- Gruppo di risorse
- Regola di raccolta dati esistente
Per creare o modificare le regole di raccolta dati
Prerequisiti del server d'inoltro dei log
Se si raccolgono messaggi da un server d'inoltro dei log, si applicano i prerequisiti seguenti:
Per raccogliere i log, è necessario disporre di una macchina virtuale Linux designata come server d'inoltro dei log.
- Creare una macchina virtuale Linux nel portale di Azure.
- Sistemi operativi Linux supportati per l'agente di Monitoraggio di Azure.
Se il server d'inoltro dei log non è una macchina virtuale di Azure, deve essere installato l'agente di Azure Arc Connessione ed Machine.
La macchina virtuale del server d'inoltro dei log Linux deve avere Python 2.7 o 3 installato. Usare il
python --version
comando opython3 --version
per controllare. Se si usa Python 3, assicurarsi che sia impostato come comando predefinito nel computer oppure eseguire script con il comando "python3" anziché "python".Il server d'inoltro del log deve avere il
syslog-ng
daemon orsyslog
abilitato.Per i requisiti di spazio per il server d'inoltro dei log, vedere Il benchmark delle prestazioni dell'agente di Monitoraggio di Azure. È anche possibile esaminare questo post di blog, che include progettazioni per l'inserimento scalabile.
Le origini di log, i dispositivi di sicurezza e le appliance devono essere configurati per inviare i messaggi di log al daemon Syslog del server di inoltro del log anziché al daemon Syslog locale.
Prerequisiti di sicurezza del computer
Configurare la sicurezza del computer in base ai criteri di sicurezza dell'organizzazione. Ad esempio, configurare la rete per allinearsi ai criteri di sicurezza della rete aziendale e modificare le porte e i protocolli nel daemon in modo che siano allineati ai requisiti. Per migliorare la configurazione della sicurezza dei computer, proteggere la macchina virtuale in Azure o esaminare queste procedure consigliate per la sicurezza di rete.
Se i dispositivi inviano log Syslog e CEF tramite TLS perché, ad esempio, il server d'inoltro dei log si trova nel cloud, è necessario configurare il daemon Syslog (rsyslog
o syslog-ng
) per comunicare in TLS. Per altre informazioni, vedi:
- Crittografare il traffico Syslog con TLS - rsyslog
- Crittografare i messaggi di log con TLS - syslog-ng
Configurare il connettore dati
Il processo di installazione per Syslog tramite AMA o CEF (Common Event Format) tramite i connettori dati AMA include i passaggi seguenti:
- Installare l'agente di Monitoraggio di Azure e creare una regola di raccolta dati usando uno dei metodi seguenti:
- Se si raccolgono log da altri computer usando un server d'inoltro dei log, eseguire lo script di "installazione" nel server d'inoltro dei log per configurare il daemon Syslog per l'ascolto dei messaggi da altri computer e per aprire le porte locali necessarie.
Selezionare la scheda appropriata per le istruzioni.
Creare una regola di raccolta dati
Per iniziare, aprire il connettore dati in Microsoft Sentinel e creare una regola del connettore dati.
Per Microsoft Sentinel nella portale di Azure, in Configurazione selezionare Connettori dati.
Per Microsoft Sentinel nel portale di Defender selezionare Connettori dati di configurazione>di Microsoft Sentinel.>Per syslog digitare Syslog nella casella Di ricerca . Nei risultati selezionare Syslog tramite il connettore AMA .
Per CEF digitare CEF nella casella Di ricerca . Nei risultati selezionare common event format (CEF) tramite il connettore AMA .Selezionare Apri la pagina del connettore nel riquadro dei dettagli.
Nell'area Configurazione selezionare +Crea regola di raccolta dati.
Nella scheda Basic (Informazioni di base ):
- Digitare un nome DCR.
- Selezionare la propria sottoscrizione.
- Selezionare il gruppo di risorse in cui si vuole individuare il Registro Azure Container.
Selezionare Avanti: Risorse >.
Definire le risorse della macchina virtuale
Nella scheda Risorse selezionare i computer in cui si vuole installare l'AMA, in questo caso il computer di inoltro dei log. Se il server d'inoltro dei log non viene visualizzato nell'elenco, potrebbe non essere installato l'agente del computer di Azure Connessione ed.
Usare i filtri o la casella di ricerca disponibili per trovare la macchina virtuale del server d'inoltro del log. Espandere una sottoscrizione nell'elenco per visualizzare i gruppi di risorse e un gruppo di risorse per visualizzare le macchine virtuali.
Selezionare la macchina virtuale del server d'inoltro dei log in cui si vuole installare l'ama. La casella di controllo viene visualizzata accanto al nome della macchina virtuale quando si passa il puntatore del mouse su di esso.
Esaminare le modifiche e selezionare Avanti: Raccogliere >.
Selezionare strutture e gravità
Tenere presente che l'uso della stessa funzionalità per i messaggi Syslog e CEF potrebbe comportare la duplicazione dell'inserimento dei dati. Per altre informazioni, vedere Prevenzione della duplicazione dell'inserimento dati.
Nella scheda Raccogli selezionare il livello di log minimo per ogni funzionalità. Quando si seleziona un livello di log, Microsoft Sentinel raccoglie i log per il livello selezionato e altri livelli con gravità più elevata. Ad esempio, se si seleziona LOG_ERR, Microsoft Sentinel raccoglie i log per i livelli di LOG_ERR, LOG_CRIT, LOG_ALERT e LOG_EMERG .
Esaminare le selezioni e selezionare Avanti: Rivedi e crea.
Esaminare e creare la regola
Dopo aver completato tutte le schede, esaminare gli elementi immessi e creare la regola di raccolta dati.
Nella scheda Rivedi e crea selezionare Crea.
Il connettore installa l'agente di Monitoraggio di Azure nei computer selezionati durante la creazione del controller di dominio.
Controllare le notifiche nel portale di Azure o nel portale di Microsoft Defender per verificare quando viene creato il Registro Azure Container e l'agente è installato.
Selezionare Aggiorna nella pagina del connettore per visualizzare il Record di dominio visualizzato nell'elenco.
Eseguire lo script di "installazione"
Se si usa un server d'inoltro dei log, configurare il daemon Syslog per l'ascolto dei messaggi da altri computer e aprire le porte locali necessarie.
Nella pagina del connettore copiare la riga di comando visualizzata in Esegui il comando seguente per installare e applicare l'agente di raccolta CEF:
In alternativa, copiarlo da qui:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python Forwarder_AMA_installer.py
Accedere al computer del server d'inoltro dei log in cui è stata appena installata l'ama.
Incollare il comando copiato nell'ultimo passaggio per avviare lo script di installazione.
Lo script configura ilrsyslog
daemon osyslog-ng
per l'uso del protocollo richiesto e riavvia il daemon. Lo script apre la porta 514 per ascoltare i messaggi in ingresso nei protocolli UDP e TCP. Per modificare questa impostazione, fare riferimento al file di configurazione del daemon Syslog in base al tipo di daemon in esecuzione nel computer:- Rsyslog:
/etc/rsyslog.conf
- Syslog-ng:
/etc/syslog-ng/syslog-ng.conf
Se si usa Python 3 e non è impostato come comando predefinito nel computer, sostituire
python3
conpython
il comando incollato. Vedere Prerequisiti del server d'inoltro dei log.- Rsyslog:
Testare il connettore
Verificare che i messaggi del computer Linux o dei dispositivi e delle appliance di sicurezza vengano inseriti in Microsoft Sentinel.
Per verificare che il daemon syslog sia in esecuzione sulla porta UDP e che ama sia in ascolto, eseguire questo comando:
netstat -lnptv
Verrà visualizzato il
rsyslog
daemon osyslog-ng
in ascolto sulla porta 514.Per acquisire i messaggi inviati da un logger o da un dispositivo connesso, eseguire questo comando in background:
tcpdump -i any port 514 -A -vv &
Dopo aver completato la convalida, è consigliabile arrestare :
tcpdump
Digitare e quindi premere CTRL+C.fg
Per inviare messaggi demo, completare i passaggi seguenti:
Usare l'utilità netcat. In questo esempio, l'utilità legge i dati inviati tramite il
echo
comando con l'opzione di nuova riga disattivata. L'utilità scrive quindi i dati nella porta514
UDP in localhost senza timeout. Per eseguire l'utilità netcat, potrebbe essere necessario installare un altro pacchetto.echo -n "<164>CEF:0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time" | nc -u -w0 localhost 514
Usare il logger. Questo esempio scrive il messaggio nella
local 4
struttura, a livelloWarning
di gravità , per convertire514
, nell'host locale, nel formato RFC CEF. I-t
flag e--rfc3164
vengono usati per rispettare il formato RFC previsto.logger -p local4.warn -P 514 -n 127.0.0.1 --rfc3164 -t CEF "0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time"
Per verificare che il connettore sia installato correttamente, eseguire lo script di risoluzione dei problemi con uno di questi comandi:
Per i log CEF, eseguire:
sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --cef
Per i log di Cisco Adaptive Security Appliance (ASA), eseguire:
sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --asa
Per i log di Cisco Firepower Threat Defense (FTD), eseguire:
sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --ftd