Inserire messaggi Syslog e CEF in Microsoft Sentinel con l'agente di Monitoraggio di Azure

Questo articolo descrive come usare Syslog tramite AMA e Common Event Format (CEF) tramite connettori AMA per filtrare e inserire rapidamente messaggi Syslog, inclusi i messaggi in Common Event Format (CEF), da computer Linux e da dispositivi e dispositivi di sicurezza di rete e dispositivi e appliance. Per altre informazioni su questi connettori dati, vedere Syslog e Common Event Format (CEF) tramite connettori AMA per Microsoft Sentinel.

Prerequisiti

Prima di iniziare, è necessario avere le risorse configurate e le autorizzazioni appropriate descritte in questa sezione.

Prerequisiti di Microsoft Sentinel

Per Microsoft Sentinel, installare la soluzione appropriata e assicurarsi di avere le autorizzazioni necessarie per completare i passaggi descritti in questo articolo.

• Installare la soluzione appropriata: Syslog e/o Common Event Format dall'hub contenuto in Microsoft Sentinel. Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel.

• L'account Azure deve avere i ruoli di controllo degli accessi in base al ruolo di Azure seguenti:

  Ruolo predefinito	Ambito	Motivo
  - Collaboratore macchine virtuali - Computer Connessione ed di Azure    Resource Amministrazione istrator	Macchine virtuali (VM) Set di scalabilità di macchine virtuali Server con abilitazione di Azure Arc	Per distribuire l'agente
  Qualsiasi ruolo che include l'azione Microsoft.Resources/deployments/*	Subscription Gruppo di risorse Regola di raccolta dati esistente	Per distribuire modelli di Azure Resource Manager
  Collaboratore al monitoraggio	Subscription Gruppo di risorse Regola di raccolta dati esistente	Per creare o modificare le regole di raccolta dati

Prerequisiti del server d'inoltro dei log

Se si raccolgono messaggi da un server d'inoltro dei log, si applicano i prerequisiti seguenti:

• Per raccogliere i log, è necessario disporre di una macchina virtuale Linux designata come server d'inoltro dei log.

  • Creare una macchina virtuale Linux nel portale di Azure.
  • Sistemi operativi Linux supportati per l'agente di Monitoraggio di Azure.

• Se il server d'inoltro dei log non è una macchina virtuale di Azure, deve essere installato l'agente di Azure Arc Connessione ed Machine.

• La macchina virtuale del server d'inoltro dei log Linux deve avere Python 2.7 o 3 installato. Usare il python --version comando o python3 --version per controllare. Se si usa Python 3, assicurarsi che sia impostato come comando predefinito nel computer oppure eseguire script con il comando "python3" anziché "python".

• Il server d'inoltro del log deve avere il syslog-ng daemon o rsyslog abilitato.

• Per i requisiti di spazio per il server d'inoltro dei log, vedere Il benchmark delle prestazioni dell'agente di Monitoraggio di Azure. È anche possibile esaminare questo post di blog, che include progettazioni per l'inserimento scalabile.

• Le origini di log, i dispositivi di sicurezza e le appliance devono essere configurati per inviare i messaggi di log al daemon Syslog del server di inoltro del log anziché al daemon Syslog locale.

Prerequisiti di sicurezza del computer

Configurare la sicurezza del computer in base ai criteri di sicurezza dell'organizzazione. Ad esempio, configurare la rete per allinearsi ai criteri di sicurezza della rete aziendale e modificare le porte e i protocolli nel daemon in modo che siano allineati ai requisiti. Per migliorare la configurazione della sicurezza dei computer, proteggere la macchina virtuale in Azure o esaminare queste procedure consigliate per la sicurezza di rete.

Se i dispositivi inviano log Syslog e CEF tramite TLS perché, ad esempio, il server d'inoltro dei log si trova nel cloud, è necessario configurare il daemon Syslog (rsyslog o syslog-ng) per comunicare in TLS. Per altre informazioni, vedi:

• Crittografare il traffico Syslog con TLS - rsyslog
• Crittografare i messaggi di log con TLS - syslog-ng

Configurare il connettore dati

Il processo di installazione per Syslog tramite AMA o CEF (Common Event Format) tramite i connettori dati AMA include i passaggi seguenti:

1. Installare l'agente di Monitoraggio di Azure e creare una regola di raccolta dati usando uno dei metodi seguenti:
   • Portale di Azure o Defender
   • API di inserimento log di Monitoraggio di Azure
2. Se si raccolgono log da altri computer usando un server d'inoltro dei log, eseguire lo script di "installazione" nel server d'inoltro dei log per configurare il daemon Syslog per l'ascolto dei messaggi da altri computer e per aprire le porte locali necessarie.

Selezionare la scheda appropriata per le istruzioni.

Portale di Azure o Defender

Creare una regola di raccolta dati

Per iniziare, aprire il connettore dati in Microsoft Sentinel e creare una regola del connettore dati.

1. Per Microsoft Sentinel nella portale di Azure, in Configurazione selezionare Connettori dati.
   Per Microsoft Sentinel nel portale di Defender selezionare Connettori dati di configurazione>di Microsoft Sentinel.>

2. Per syslog digitare Syslog nella casella Di ricerca . Nei risultati selezionare Syslog tramite il connettore AMA .
   Per CEF digitare CEF nella casella Di ricerca . Nei risultati selezionare common event format (CEF) tramite il connettore AMA .

3. Selezionare Apri la pagina del connettore nel riquadro dei dettagli.

4. Nell'area Configurazione selezionare +Crea regola di raccolta dati.

   

   

5. Nella scheda Basic (Informazioni di base ):

   • Digitare un nome DCR.
   • Selezionare la propria sottoscrizione.
   • Selezionare il gruppo di risorse in cui si vuole individuare il Registro Azure Container.

   

6. Selezionare Avanti: Risorse >.

Definire le risorse della macchina virtuale

Nella scheda Risorse selezionare i computer in cui si vuole installare l'AMA, in questo caso il computer di inoltro dei log. Se il server d'inoltro dei log non viene visualizzato nell'elenco, potrebbe non essere installato l'agente del computer di Azure Connessione ed.

1. Usare i filtri o la casella di ricerca disponibili per trovare la macchina virtuale del server d'inoltro del log. Espandere una sottoscrizione nell'elenco per visualizzare i gruppi di risorse e un gruppo di risorse per visualizzare le macchine virtuali.

2. Selezionare la macchina virtuale del server d'inoltro dei log in cui si vuole installare l'ama. La casella di controllo viene visualizzata accanto al nome della macchina virtuale quando si passa il puntatore del mouse su di esso.

   

3. Esaminare le modifiche e selezionare Avanti: Raccogliere >.

Selezionare strutture e gravità

Tenere presente che l'uso della stessa funzionalità per i messaggi Syslog e CEF potrebbe comportare la duplicazione dell'inserimento dei dati. Per altre informazioni, vedere Prevenzione della duplicazione dell'inserimento dati.

1. Nella scheda Raccogli selezionare il livello di log minimo per ogni funzionalità. Quando si seleziona un livello di log, Microsoft Sentinel raccoglie i log per il livello selezionato e altri livelli con gravità più elevata. Ad esempio, se si seleziona LOG_ERR, Microsoft Sentinel raccoglie i log per i livelli di LOG_ERR, LOG_CRIT, LOG_ALERT e LOG_EMERG .

   

2. Esaminare le selezioni e selezionare Avanti: Rivedi e crea.

Esaminare e creare la regola

Dopo aver completato tutte le schede, esaminare gli elementi immessi e creare la regola di raccolta dati.

1. Nella scheda Rivedi e crea selezionare Crea.

   

   Il connettore installa l'agente di Monitoraggio di Azure nei computer selezionati durante la creazione del controller di dominio.

2. Controllare le notifiche nel portale di Azure o nel portale di Microsoft Defender per verificare quando viene creato il Registro Azure Container e l'agente è installato.

3. Selezionare Aggiorna nella pagina del connettore per visualizzare il Record di dominio visualizzato nell'elenco.

API di inserimento dei log

Installare l'gente di Monitoraggio di Azure

Seguire le istruzioni appropriate nella documentazione di Monitoraggio di Azure per installare l'agente di Monitoraggio di Azure nel server d'inoltro dei log. Ricordarsi di usare le istruzioni per Linux, non per Windows.

• Installare l'AMA con PowerShell
• Installare l'ama usando l'interfaccia della riga di comando di Azure
• Installare l'ama usando un modello di Azure Resource Manager

È possibile creare regole di raccolta dati usando l'API di inserimento log di Monitoraggio di Azure. Per altre informazioni, vedere Regole di raccolta dati in Monitoraggio di Azure.

Creare la regola di raccolta dati

Creare un file JSON per la regola di raccolta dati, creare una richiesta API e inviare la richiesta.

1. Preparare un file DCR in formato JSON. Il contenuto di questo file è il corpo della richiesta nella richiesta API.

   Per un esempio, vedere Corpo della richiesta di creazione DCR Syslog/CEF. Per raccogliere messaggi Syslog e CEF nella stessa regola di raccolta dati, vedere l'esempio di flussi Syslog e CEF nello stesso DCR.

   • Verificare che il streams campo sia impostato su Microsoft-Syslog per i messaggi Syslog o su Microsoft-CommonSecurityLog per i messaggi CEF.
   • Aggiungere i livelli di filtro e log delle strutture nei facilityNames parametri e logLevels . Vedere esempi di strutture e livelli di log.

2. Creare una richiesta API in un client API REST scelto.

   1. Per l'URL e l'intestazione della richiesta, copiare l'URL e l'intestazione della richiesta seguenti.

      PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2022-06-01
      

      • Sostituire i valori appropriati per i {subscriptionId} segnaposto e {resourceGroupName} .
      • Immettere un nome di propria scelta per il record di dominio al posto del {dataCollectionRuleName} segnaposto.

   2. Per il corpo della richiesta, copiare e incollare il contenuto del file JSON DCR creato (nel passaggio 1 precedente) nel corpo della richiesta.

3. Inviare la richiesta.

   Per un esempio della risposta che si dovrebbe ricevere, vedere Risposta di creazione del DCR Syslog/CEF.

Associare il record di controllo di dominio al server d'inoltro dei log

È ora necessario creare un'associazione DCR (DCRA) che collega il DCR alla risorsa vm che ospita il server d'inoltro dei log.

1. Creare una richiesta API in un client API REST scelto.

2. Per l'URL e l'intestazione della richiesta, copiare l'URL della richiesta e l'intestazione seguenti.

   PUT 
   https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{virtualMachineName}/providers/Microsoft.Insights/dataCollectionRuleAssociations/{dataCollectionRuleAssociationName}?api-version=2022-06-01
   

   • Sostituire i valori appropriati per i {subscriptionId}segnaposto , {resourceGroupName}e {virtualMachineName} .
   • Immettere un nome di propria scelta per il record di dominio al posto del {dataCollectionRuleAssociationName} segnaposto.

3. Per il corpo della richiesta, copiare il corpo della richiesta seguente.

   {
     "properties": {
       "dataCollectionRuleId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}"
     }
   }
   

   • Sostituire i valori appropriati per i {subscriptionId} segnaposto e {resourceGroupName} .
   • Immettere un nome di propria scelta per il record di dominio al posto del {dataCollectionRuleName} segnaposto.

4. Inviare la richiesta.

Esempi di sezioni relative a strutture e livelli di log

Esaminare questi esempi delle impostazioni relative alle strutture e ai livelli di log. Il name campo include il nome del filtro.

Per l'inserimento di messaggi CEF, il valore per "streams" deve essere "Microsoft-CommonSecurityLog" invece di "Microsoft-Syslog".

Questo esempio raccoglie gli eventi dalle cronstrutture , daemon, local0local3 e uucp , con i Warninglivelli di log , CriticalErrorAlert, , e Emergency :

    "dataSources": {
      "syslog": [
        {
        "name": "SyslogStream0",
        "streams": [
          "Microsoft-Syslog"
        ],
        "facilityNames": [ 
          "cron",
          "daemon",
          "local0",
          "local3", 
          "uucp"
        ],
        "logLevels": [ 
          "Warning", 
          "Error", 
          "Critical", 
          "Alert", 
          "Emergency"
        ]
      }
    ]
  }

Flussi Syslog e CEF nello stesso DCR

Questo esempio mostra come raccogliere messaggi Syslog e CEF nello stesso record di dominio.

DCR raccoglie i messaggi di evento CEF per:

• Le strutture e mark con i Infolivelli di WarningAlertErrorCriticallog , e EmergencyNoticeauthpriv
• Struttura daemon con i Warninglivelli di log , ErrorCritical, Alert, e Emergency

Raccoglie i messaggi di evento Syslog per:

• Le kernfunzionalità , local5local0, e news con i Criticallivelli di log , Alerte Emergency
• Le mail strutture e uucp con il livello di Emergency log

    "dataSources": {
      "syslog": [
        {
          "name": "CEFStream1",
          "streams": [ 
            "Microsoft-CommonSecurityLog"
          ],
          "facilityNames": [ 
            "authpriv", 
            "mark"
          ],
          "logLevels": [
            "Info",
            "Notice", 
            "Warning", 
            "Error", 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "CEFStream2",
          "streams": [ 
            "Microsoft-CommonSecurityLog"
          ],
          "facilityNames": [ 
            "daemon"
          ],
          "logLevels": [ 
            "Warning", 
            "Error", 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "SyslogStream3",
          "streams": [ 
            "Microsoft-Syslog"
          ],
          "facilityNames": [ 
            "kern",
            "local0",
            "local5", 
            "news"
          ],
          "logLevels": [ 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "SyslogStream4",
          "streams": [ 
            "Microsoft-Syslog"
          ],
          "facilityNames": [ 
            "mail",
            "uucp"
          ],
          "logLevels": [ 
            "Emergency"
          ]
        }
      ]
    }

Eseguire lo script di "installazione"

Se si usa un server d'inoltro dei log, configurare il daemon Syslog per l'ascolto dei messaggi da altri computer e aprire le porte locali necessarie.

1. Nella pagina del connettore copiare la riga di comando visualizzata in Esegui il comando seguente per installare e applicare l'agente di raccolta CEF:

   

   In alternativa, copiarlo da qui:

   sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python Forwarder_AMA_installer.py
   

2. Accedere al computer del server d'inoltro dei log in cui è stata appena installata l'ama.

3. Incollare il comando copiato nell'ultimo passaggio per avviare lo script di installazione.
   Lo script configura il rsyslog daemon o syslog-ng per l'uso del protocollo richiesto e riavvia il daemon. Lo script apre la porta 514 per ascoltare i messaggi in ingresso nei protocolli UDP e TCP. Per modificare questa impostazione, fare riferimento al file di configurazione del daemon Syslog in base al tipo di daemon in esecuzione nel computer:

   • Rsyslog: /etc/rsyslog.conf
   • Syslog-ng: /etc/syslog-ng/syslog-ng.conf

   Se si usa Python 3 e non è impostato come comando predefinito nel computer, sostituire python3 con python il comando incollato. Vedere Prerequisiti del server d'inoltro dei log.

   Nota

   Per evitare scenari con disco completo in cui l'agente non può funzionare, è consigliabile impostare o rsyslogsyslog-ng non archiviare i log non necessario. Uno scenario full disk interrompe la funzione dell'ama installato. Per altre informazioni, vedere RSyslog o Syslog-ng.

Testare il connettore

Verificare che i messaggi del computer Linux o dei dispositivi e delle appliance di sicurezza vengano inseriti in Microsoft Sentinel.

1. Per verificare che il daemon syslog sia in esecuzione sulla porta UDP e che ama sia in ascolto, eseguire questo comando:

   netstat -lnptv
   

   Verrà visualizzato il rsyslog daemon o syslog-ng in ascolto sulla porta 514.

2. Per acquisire i messaggi inviati da un logger o da un dispositivo connesso, eseguire questo comando in background:

   tcpdump -i any port 514 -A -vv &
   

3. Dopo aver completato la convalida, è consigliabile arrestare : tcpdumpDigitare e quindi premere CTRL+C.fg

4. Per inviare messaggi demo, completare i passaggi seguenti:

   • Usare l'utilità netcat. In questo esempio, l'utilità legge i dati inviati tramite il echo comando con l'opzione di nuova riga disattivata. L'utilità scrive quindi i dati nella porta 514 UDP in localhost senza timeout. Per eseguire l'utilità netcat, potrebbe essere necessario installare un altro pacchetto.

     echo -n "<164>CEF:0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time" | nc -u -w0 localhost 514
     

   • Usare il logger. Questo esempio scrive il messaggio nella local 4 struttura, a livello Warningdi gravità , per convertire 514, nell'host locale, nel formato RFC CEF. I -t flag e --rfc3164 vengono usati per rispettare il formato RFC previsto.

     logger -p local4.warn -P 514 -n 127.0.0.1 --rfc3164 -t CEF "0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time"
     

5. Per verificare che il connettore sia installato correttamente, eseguire lo script di risoluzione dei problemi con uno di questi comandi:

   • Per i log CEF, eseguire:

      sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --cef
     

   • Per i log di Cisco Adaptive Security Appliance (ASA), eseguire:

     sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --asa
     

   • Per i log di Cisco Firepower Threat Defense (FTD), eseguire:

     sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --ftd
     

Contenuto correlato

• Syslog e Common Event Format (CEF) tramite connettori AMA per Microsoft Sentinel
• Regole di raccolta dati in Monitoraggio di Azure