Een logboekstuurserver implementeren om Syslog- en CEF-logboeken op te nemen in Microsoft Sentinel

  • Artikel

Let op

In dit artikel wordt verwezen naar CentOS, een Linux-distributie die de status End Of Life (EOL) nadert. Overweeg uw gebruik en planning dienovereenkomstig. Zie de Richtlijnen voor het einde van de levensduur van CentOS voor meer informatie.

Als u Syslog- en CEF-logboeken wilt opnemen in Microsoft Sentinel, met name vanaf apparaten en apparaten waarop u de Log Analytics-agent niet rechtstreeks kunt installeren, moet u een Linux-computer aanwijzen en configureren waarmee de logboeken van uw apparaten worden verzameld en doorgestuurd naar uw Microsoft Sentinel-werkruimte. Deze machine kan een fysieke of virtuele machine zijn in uw on-premises omgeving, een Azure-VM of een VM in een andere cloud.

Deze machine heeft twee onderdelen die deelnemen aan dit proces:

  • Een syslog-daemon, rsyslog of syslog-ng, waarmee de logboeken worden verzameld.
  • De Log Analytics-agent (ook wel bekend als de OMS-agent), die de logboeken doorstuurt naar Microsoft Sentinel.

Met behulp van de onderstaande koppeling voert u een script uit op de aangewezen computer waarmee de volgende taken worden uitgevoerd:

  • Installeert de Log Analytics-agent voor Linux (ook wel bekend als de OMS-agent) en configureert deze voor de volgende doeleinden:

    • luisteren naar CEF-berichten van de ingebouwde Linux Syslog-daemon op TCP-poort 25226
    • de berichten veilig via TLS verzenden naar uw Microsoft Sentinel-werkruimte, waar ze worden geparseerd en verrijkt

  • Hiermee configureert u de ingebouwde Linux Syslog-daemon (rsyslog.d/syslog-ng) voor de volgende doeleinden:

    • Luisteren naar Syslog-berichten van uw beveiligingsoplossingen op TCP-poort 514
    • alleen de berichten die worden geïdentificeerd als CEF doorsturen naar de Log Analytics-agent op localhost met behulp van TCP-poort 25226

Belangrijk

De Log Analytics-agent wordt op 31 augustus 2024 buiten gebruik gesteld. Als u de Log Analytics-agent in uw Microsoft Sentinel-implementatie gebruikt, raden we u aan uw migratie naar de AMA te plannen. Zie AMA-migratie voor Microsoft Sentinel voor meer informatie.

Raadpleeg de opties voor het streamen van logboeken in de CEF- en Syslog-indeling naar Microsoft Sentinel voor informatie over het implementeren van Syslog- en CEF-logboeken met de Azure Monitor-agent.

Vereisten

Elke gegevensconnector heeft een eigen set vereisten. Vereisten kunnen zijn dat u specifieke machtigingen moet hebben voor uw Azure-werkruimte, -abonnement of -beleid. Of u moet voldoen aan andere vereisten voor de partnergegevensbron waarmee u verbinding maakt.

Vereisten voor elke gegevensconnector worden weergegeven op de relevante pagina van de gegevensconnector in Microsoft Sentinel.

Installeer de productoplossing vanuit de Content Hub in Microsoft Sentinel. Als het product niet wordt vermeld, installeert u de oplossing voor Common Event Format. Zie Microsoft Sentinel out-of-the-box-inhoud ontdekken en beheren voor meer informatie.

Belangrijk

Besturingssysteemversies kunnen verschillende ondersteuningsdatums en levenscycluss hebben. We raden u aan de officiële documentatie van elke distributie te controleren op de meest nauwkeurige en actuele ondersteuning en einddatums van de levensduur.

Uw computer moet voldoen aan de volgende vereisten:

  • Hardware (fysiek/virtueel)

    • Uw Linux-machine moet minimaal 4 CPU-kernen en 8 GB RAM hebben.

      Notitie

      • Eén machine voor het doorsturen van logboeken met de bovenstaande hardwareconfiguratie en het gebruik van de rsyslog-daemon heeft een ondersteunde capaciteit van maximaal 8500 gebeurtenissen per seconde (EPS) verzameld.

  • Besturingssysteem

    • CentOS 7 en 8 (niet 6), inclusief secundaire versies (64-bits/32-bits)
    • Amazon Linux 2 (alleen 64-bits)
    • Oracle Linux 7, 8 (64-bits/32-bits)
    • Red Hat Enterprise Linux (RHEL) Server 7 en 8 (niet 6), inclusief secundaire versies (64-bits/32-bits)
    • Debian GNU/Linux 8 en 9 (64-bits/32-bits)
    • Ubuntu Linux 20.04 LTS (alleen 64-bits)
    • SUSE Linux Enterprise Server 12, 15 (alleen 64-bits)

  • Daemon-versies

    • Rsyslog: v8
    • Syslog-ng: 2.1 - 3.22.1

  • Pakketten

    • U moet Python 2.7 of 3 op de Linux-computer hebben geïnstalleerd.
      Gebruik de python --version of python3 --version opdracht om te controleren.
    • Je moet het GNU Wget-pakket hebben.

  • Ondersteuning voor Syslog RFC

    • Syslog RFC 3164
    • Syslog RFC 5424

  • Configuratie

    • U moet verhoogde machtigingen (sudo) hebben op uw aangewezen Linux-computer.
    • De Linux-machine mag niet zijn verbonden met Azure-werkruimten voordat u de Log Analytics-agent installeert.

  • Data

    • Mogelijk hebt u op een bepaald moment in dit proces de werkruimte-id en primaire sleutel van uw Microsoft Sentinel-werkruimte nodig. U vindt ze in de werkruimte-instellingen, onder Agents-beheer.

Beveiligingsoverwegingen

Zorg ervoor dat u de beveiliging van de machine configureert volgens het beveiligingsbeleid van uw organisatie. U kunt uw netwerk bijvoorbeeld zo configureren dat het overeenkomt met het beveiligingsbeleid voor uw bedrijfsnetwerk en de poorten en protocollen in de daemon zo wijzigen dat deze overeenkomen met uw vereisten. U kunt de volgende instructies gebruiken om de configuratie van uw computerbeveiliging te verbeteren: Beveiligde VM in Azure, aanbevolen procedures voor netwerkbeveiliging.

Als uw apparaten Syslog- en CEF-logboeken verzenden via TLS (omdat uw logboekstuurserver bijvoorbeeld in de cloud is), moet u de Syslog-daemon (rsyslog of syslog-ng) configureren om te communiceren in TLS. Zie de volgende documentatie voor meer informatie:

Het implementatiescript uitvoeren

  1. Selecteer gegevensconnectors in Microsoft Sentinel.

  2. Selecteer de connector voor uw product in de galerie connectors. Als uw product niet wordt vermeld, selecteert u Common Event Format (CEF).

  3. Selecteer de pagina Connector openen in het detailvenster voor de connector.

  4. Kopieer op de connectorpagina in de instructies onder 1.2 Installeer de CEF-collector op de Linux-computer de koppeling onder Voer het volgende script uit om de CEF-collector te installeren en toe te passen.
    Als u geen toegang tot deze pagina hebt, kopieert u de koppeling uit de onderstaande tekst (de werkruimte-id en primaire sleutel van bovenaf kopiëren en plakken in plaats van de tijdelijke aanduidingen):

    sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [WorkspaceID] [Workspace Primary Key]

  5. Plak de koppeling of de tekst in de opdrachtregel in de doorstuurserver voor logboeken en voer deze uit.

  6. Terwijl het script wordt uitgevoerd, controleert u of er geen foutberichten of waarschuwingsberichten worden weergegeven.

    • Mogelijk krijgt u een bericht waarin u wordt geleid om een opdracht uit te voeren om een probleem met de toewijzing van het veld Computer op te lossen. Zie de uitleg in het implementatiescript voor meer informatie.

  7. Configureer uw apparaat om CEF-berichten te verzenden.

    Notitie

    Dezelfde machine gebruiken om zowel syslog - als CEF-berichten zonder opmaak door te sturen

    Als u van plan bent deze machine voor logboekstuurserver te gebruiken om Syslog-berichten en CEF door te sturen, moet u voorkomen dat gebeurtenissen worden gedupliceren naar de Tabellen Syslog en CommonSecurityLog:

    1. Op elke broncomputer die logboeken naar de doorstuurserver in CEF-indeling verzendt, moet u het Syslog-configuratiebestand bewerken om de faciliteiten te verwijderen die worden gebruikt voor het verzenden van CEF-berichten. Op deze manier worden de faciliteiten die in CEF worden verzonden, niet ook verzonden in Syslog. Zie Syslog configureren in Linux-agent voor gedetailleerde instructies over hoe u dit doet.

    2. U moet de volgende opdracht uitvoeren op deze computers om de synchronisatie van de agent met de Syslog-configuratie in Microsoft Sentinel uit te schakelen. Dit zorgt ervoor dat de configuratiewijziging die u in de vorige stap hebt aangebracht, niet wordt overschreven.
      sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'

Uitleg van implementatiescript

Hier volgt een opdrachtbeschrijving van de acties van het implementatiescript.

Kies een syslog-daemon om de juiste beschrijving te zien.

  1. De Log Analytics-agent downloaden en installeren:

    • Hiermee downloadt u het installatiescript voor de Linux-agent van Log Analytics (OMS).

      wget -O onboard_agent.sh https://raw.githubusercontent.com/Microsoft/OMS-Agent-for-Linux/
    master/installer/scripts/onboard_agent.sh

    • Hiermee installeert u de Log Analytics-agent.

      sh onboard_agent.sh -w [workspaceID] -s [Primary Key] -d opinsights.azure.com

  2. Stel de Configuratie van de Log Analytics-agent in om te luisteren op poort 25226 en CEF-berichten door te sturen naar Microsoft Sentinel:

    • Hiermee downloadt u de configuratie vanuit de GitHub-opslagplaats van de Log Analytics-agent.

      wget -O /etc/opt/microsoft/omsagent/[workspaceID]/conf/omsagent.d/security_events.conf
    https://raw.githubusercontent.com/microsoft/OMS-Agent-for-Linux/master/installer/conf/
    omsagent.d/security_events.conf

  3. De Syslog-daemon configureren:

    • Hiermee opent u poort 514 voor TCP-communicatie met behulp van het syslog-configuratiebestand /etc/rsyslog.conf.

    • Hiermee configureert u de daemon om CEF-berichten door te sturen naar de Log Analytics-agent op TCP-poort 25226 door een speciaal configuratiebestand security-config-omsagent.conf in te voegen in de map /etc/rsyslog.d/syslog daemon.

      Inhoud van het security-config-omsagent.conf bestand:

      if $rawmsg contains "CEF:" or $rawmsg contains "ASA-" then @@127.0.0.1:25226

  4. Start de Syslog-daemon en de Log Analytics-agent opnieuw op:

    • Start de rsyslog-daemon opnieuw op.

      service rsyslog restart

    • Start de Log Analytics-agent opnieuw op.

      /opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  5. Controleer de toewijzing van het veld Computer zoals verwacht:

    • Controleert of het veld Computer in de syslog-bron juist is toegewezen in de Log Analytics-agent met behulp van de volgende opdracht:

      grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb

    • Als er een probleem is met de toewijzing, wordt in het script een foutbericht weergegeven waarin u de volgende opdracht handmatig kunt uitvoeren (waarbij de werkruimte-id wordt toegepast in plaats van de tijdelijke aanduiding). De opdracht zorgt ervoor dat de juiste toewijzing wordt uitgevoerd en start de agent opnieuw op.

      sudo sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]

Volgende stappen

In dit document hebt u geleerd hoe u de Log Analytics-agent implementeert om CEF-apparaten te verbinden met Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel: