Logboeken met CEF-indeling van uw apparaat of apparaat ophalen in Microsoft Sentinel

Notitie

Zie de Microsoft Sentinel-tabellen in Beschikbaarheid van Cloudfuncties voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in clouds van de Amerikaanse overheid.

Veel netwerk- en beveiligingsapparaten en -apparaten verzenden hun systeemlogboeken via het Syslog-protocol in een speciale indeling die bekend staat als Common Event Format (CEF). Deze indeling bevat meer informatie dan de standaard Syslog-indeling en geeft de informatie weer in een geparseerde sleutel-waarde-rangschikking. De Log Analytics-agent accepteert CEF-logboeken en formatteert deze speciaal voor gebruik met Microsoft Sentinel, voordat ze worden doorgestuurd naar uw Microsoft Sentinel-werkruimte.

Meer informatie over het verzamelen van Syslog met de AMA, waaronder het configureren van Syslog en het maken van een DCR.

Belangrijk

Aanstaande wijzigingen:

In dit artikel wordt het proces beschreven voor het gebruik van logboeken met CEF-indeling om uw gegevensbronnen te verbinden. Zie Naslaginformatie over Microsoft Sentinel-gegevensconnectors voor informatie over gegevensconnectors die deze methode gebruiken.

Er zijn twee belangrijke stappen voor het maken van deze verbinding, die hieronder in detail worden uitgelegd:

  • Een Linux-machine of VM aanwijzen als een toegewezen doorstuurserver voor logboeken, de Log Analytics-agent erop installeren en de agent configureren om de logboeken door te sturen naar uw Microsoft Sentinel-werkruimte. De installatie en configuratie van de agent worden afgehandeld door een implementatiescript.

  • Uw apparaat configureren om de logboeken in CEF-indeling naar een Syslog-server te verzenden.

Notitie

Gegevens worden opgeslagen op de geografische locatie van de werkruimte waarop u Microsoft Sentinel uitvoert.

Ondersteunde architecturen

In het volgende diagram wordt de installatie beschreven in het geval van een Linux-VM in Azure:

CEF in Azure

U kunt ook de volgende instelling gebruiken als u een VM in een andere cloud of een on-premises machine gebruikt:

CEF on-premises

Vereisten

Een Microsoft Sentinel-werkruimte is vereist om CEF-gegevens op te nemen in Log Analytics.

Een doorstuurfunctie voor logboeken aanwijzen en de Log Analytics-agent installeren

In deze sectie wordt beschreven hoe u de Linux-computer aanwijst en configureert die de logboeken van uw apparaat doorstuurt naar uw Microsoft Sentinel-werkruimte.

Uw Linux-machine kan een fysieke of virtuele machine in uw on-premises omgeving, een Azure-VM of een VM in een andere cloud zijn.

Gebruik de koppeling op de pagina van de CEF-gegevensconnector (Common Event Format) om een script uit te voeren op de aangewezen computer en de volgende taken uit te voeren:

  • Installeert de Log Analytics-agent voor Linux (ook wel de OMS-agent genoemd) en configureert deze voor de volgende doeleinden:

    • luisteren naar CEF-berichten van de ingebouwde Linux Syslog-daemon op TCP-poort 25226
    • de berichten veilig via TLS verzenden naar uw Microsoft Sentinel-werkruimte, waar ze worden geparseerd en verrijkt
  • Hiermee configureert u de ingebouwde Linux Syslog-daemon (rsyslog.d/syslog-ng) voor de volgende doeleinden:

    • luisteren naar Syslog-berichten van uw beveiligingsoplossingen op TCP-poort 514
    • alleen de berichten die als CEF worden geïdentificeerd, doorsturen naar de Log Analytics-agent op localhost met behulp van TCP-poort 25226

Zie Een doorstuurfunctie voor logboeken implementeren om Syslog- en CEF-logboeken op te nemen in Microsoft Sentinel voor meer informatie.

Beveiligingsoverwegingen

Zorg ervoor dat u de beveiliging van de computer configureert volgens het beveiligingsbeleid van uw organisatie. U kunt uw netwerk bijvoorbeeld zo configureren dat deze wordt afgestemd op het beveiligingsbeleid van uw bedrijfsnetwerk en de poorten en protocollen in de daemon wijzigen om aan uw vereisten te voldoen.

Zie Beveiligde VM in Azure en Best practices voor netwerkbeveiliging voor meer informatie.

Als uw apparaten Syslog- en CEF-logboeken verzenden via TLS, bijvoorbeeld wanneer uw logboeken doorstuurserver zich in de cloud bevindt, moet u de Syslog-daemon (rsyslog of syslog-ng) configureren om te communiceren in TLS.

Zie voor meer informatie:

Uw apparaat configureren

Zoek en volg de configuratie-instructies van de leverancier van uw apparaat voor het verzenden van logboeken in CEF-indeling naar een SIEM- of logboekserver.

Als uw product wordt weergegeven in de galerie met gegevensconnectors, kunt u de microsoft Sentinel-gegevensconnectors raadplegen voor hulp, waar de configuratie-instructies de instellingen in de onderstaande lijst moeten bevatten.

  • Protocol = TCP
  • Poort = 514
  • Notatie = CEF
  • IP-adres: zorg ervoor dat u de CEF-berichten verzendt naar het IP-adres van de virtuele machine die u voor dit doel hebt toegewezen.

Deze oplossing ondersteunt Syslog RFC 3164 of RFC 5424.

Tip

Definieer zo nodig een ander protocol of poortnummer op uw apparaat, zolang u ook dezelfde wijzigingen aanbrengt in de Syslog-daemon op de logboek doorstuurserver.

Uw gegevens zoeken

Het kan tot 20 minuten duren nadat de verbinding is gemaakt voordat gegevens worden weergegeven in Log Analytics.

Als u wilt zoeken naar CEF-gebeurtenissen in Log Analytics, voert u een query uit op de CommonSecurityLog tabel in het queryvenster.

Voor sommige producten die worden vermeld in de galerie met gegevensconnectors, moeten extra parsers worden gebruikt voor de beste resultaten. Deze parsers worden geïmplementeerd met kusto-functies. Zie de sectie voor uw product op de referentiepagina microsoft Sentinel-gegevensconnectors voor meer informatie.

Als u CEF-gebeurtenissen voor deze producten wilt vinden, voert u de naam van de Kusto-functie in als het queryonderwerp in plaats van 'CommonSecurityLog'.

U vindt nuttige voorbeeldquery's, werkmappen en analyseregelsjablonen die speciaal voor uw product zijn gemaakt op het tabblad Volgende stappen van de pagina gegevensconnector van uw product in de Microsoft Sentinel-portal.

Als u geen gegevens ziet, raadpleegt u de pagina cef-probleemoplossing voor hulp.

De bron van het veld TimeGenerated wijzigen

Standaard vult de Log Analytics-agent het veld TimeGenerated in het schema in met het tijdstip waarop de agent de gebeurtenis van de Syslog-daemon heeft ontvangen. Als gevolg hiervan wordt het tijdstip waarop de gebeurtenis is gegenereerd op het bronsysteem niet vastgelegd in Microsoft Sentinel.

U kunt echter de volgende opdracht uitvoeren, waarmee het TimeGenerated.py script wordt gedownload en uitgevoerd. Met dit script configureert u de Log Analytics-agent om het veld TimeGenerated te vullen met de oorspronkelijke tijd van de gebeurtenis op het bronsysteem, in plaats van het tijdstip waarop deze door de agent is ontvangen.

wget -O TimeGenerated.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/TimeGenerated.py && python TimeGenerated.py {ws_id}

Volgende stappen

In dit document hebt u geleerd hoe Microsoft Sentinel CEF-logboeken verzamelt van apparaten en apparaten. Zie de volgende artikelen voor meer informatie over het verbinden van uw product met Microsoft Sentinel:

Zie de volgende artikelen voor meer informatie over wat u kunt doen met de gegevens die u hebt verzameld in Microsoft Sentinel: