Obter logs formatados por CEF do seu dispositivo ou aparelho no Microsoft Sentinel

  • Artigo

Observação

Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Muitos dispositivos e aparelhos de rede e de segurança enviam os logs do sistema por Syslog em um formato especializado conhecido como CEF (Formato Comum de Evento). Esse formato inclui mais informações do que o formato do Syslog padrão e apresenta as informações em um arranjo de valores-chave analisado. O Agente do Log Analytics aceita os logs CEF e os formata especialmente para uso com o Microsoft Sentinel, antes de encaminhá-los para o espaço de trabalho do Microsoft Sentinel.

Saiba como coletar o Syslog com o AMA, incluindo como configurar o Syslog e criar um DCR.

Importante

Alterações futuras:

  • Em 28 de fevereiro de 2023, introduzimos alterações no esquema da tabela CommonSecurityLog.
    • Após essa alteração, talvez seja necessário revisar e atualizar as consultas personalizadas. Para mais informações, confira a seção de ações recomendadas nesta postagem do blog. O conteúdo pronto para uso (detecções, consultas de busca, pastas de trabalho, analisadores etc.) foi atualizado pelo Microsoft Sentinel.
    • Os dados que foram transmitidos e ingeridos antes da alteração ainda estarão disponíveis em suas colunas e formatos anteriores. Portanto, as colunas antigas permanecerão no esquema.
  • Em 31 de agosto de 2024, o agente do Log Analytics será desativado. Se estiver usando o agente do Log Analytics em sua implantação do Microsoft Sentinel, recomendamos que comece a planejar a migração para o AMA. Analise as opções para transmitir logs no formato CEF e Syslog para o Microsoft Sentinel.

Este artigo descreve o processo de uso dos logs formatados por CEF para conectar as fontes de dados. Para saber mais sobre os conectores de dados que usam esse método, confira Referência de conectores de dados do Microsoft Sentinel.

Há duas etapas principais para fazer essa conexão, as quais serão explicadas detalhadamente abaixo:

  • Designando um computador ou uma VM Linux como encaminhador de log dedicado, instalando o agente do Log Analytics e configurando o agente para encaminhar os logs para o espaço de trabalho do Microsoft Sentinel. A instalação e a configuração do agente são executadas por um script de implantação.

  • Configurando o dispositivo para enviar os logs no formato CEF para um servidor Syslog.

Observação

Os dados serão armazenados na localização geográfica do espaço de trabalho no qual você está executando o Microsoft Sentinel.

Arquiteturas com suporte

O diagrama a seguir exibe a configuração no caso de uma VM do Linux no Azure:

CEF no Azure

Como alternativa, você usará a configuração a seguir, se usar uma VM em outra nuvem ou em um computador local:

CEF no local

Pré-requisitos

Um espaço de trabalho do Microsoft Sentinel é necessário para ingerir os dados CEF no Log Analytics.

  • Você deve ter permissões de leitura e gravação nesse workspace.

  • Você deve ter permissões de leitura nas chaves compartilhadas do workspace. Saiba mais sobre chaves do workspace.

Designar um encaminhador de log e instalar o agente do Log Analytics

Esta seção descreve como designar e configurar o computador Linux que encaminhará os logs do dispositivo para o espaço de trabalho do Microsoft Sentinel.

O computador Linux pode ser físico ou virtual no ambiente local, uma VM do Azure ou uma VM em outra nuvem.

Use o link fornecido na página do conector de dados CEF (Formato Comum de Evento) para executar um script no computador designado e realizar as tarefas a seguir:

  • Instala o agente do Log Analytics para Linux (também conhecido como agente do OMS) e o configura para as seguintes finalidades:

    • escutar as mensagens do CEF no daemon do Syslog do Linux interno na porta TCP 25226
    • enviar as mensagens com segurança por TLS para seu espaço de trabalho do Microsoft Sentinel, onde elas são analisadas e aprimoradas

  • Configura o daemon do Syslog do Linux interno (rsyslog.d/syslog-ng) para as seguintes finalidades:

    • escutar as mensagens do Syslog das soluções de segurança na porta TCP 514
    • encaminhar somente as mensagens que identificar como CEF para o agente do Log Analytics no localhost usando a porta TCP 25226

Para saber mais, confira Implantar um encaminhador de log para ingerir os logs Syslog e CEF no Microsoft Sentinel.

Considerações de segurança

Configure a segurança do computador de acordo com a política de segurança da organização. Por exemplo, você pode configurar a rede para ser alinhada à política de segurança de rede corporativa e alterar as portas e os protocolos do daemon para que sejam alinhados aos requisitos.

Para obter mais informações, confira Proteger a VM no Azure e Melhores práticas para segurança de rede.

Se os dispositivos estiverem enviando logs Syslog e CEF por TLS, como quando o encaminhador de log está na nuvem, você precisará configurar o daemon do Syslog (rsyslog ou syslog-ng) para se comunicar em TLS.

Para obter mais informações, consulte:

Configurar seu dispositivo

Localize e siga as instruções de configuração do fornecedor do dispositivo para enviar os logs no formato CEF para um SIEM ou servidor de log.

Se o produto for exibido na galeria de conectores de dados, você poderá consultar a referência de conectores de dados do Microsoft Sentinel para obter assistência, onde as instruções de configuração devem incluir as definições na lista abaixo.

  • Protocolo = TCP
  • Porta = 514
  • Formato = CEF
  • Endereço IP – envie as mensagens CEF ao endereço IP da máquina virtual que você dedicou para essa finalidade.

Essa solução dá suporte ao RFC 3164 ou ao RFC 5424 do Syslog.

Dica

Defina outro protocolo ou número de porta no dispositivo, conforme necessário, contanto que você também faça as mesmas alterações no daemon do Syslog no encaminhador de log.

Localizar seus dados

Depois que a conexão for feita, pode levar até 20 minutos para que os dados sejam exibidos no Log Analytics.

Para pesquisar eventos CEF no Log Analytics, consulte a tabela CommonSecurityLog na janela de consulta.

Alguns produtos listados na galeria de conectores de dados exigem o uso de analisadores adicionais para obter melhores resultados. Esses analisadores são implementados usando das funções do Kusto. Para saber mais, confira a seção do produto na página Referência de conectores de dados do Microsoft Sentinel.

Para localizar os eventos CEF desses produtos, insira o nome da função do Kusto como o assunto da consulta, em vez de "CommonSecurityLog".

Você pode localizar consultas de exemplo, pastas de trabalho e modelos de regra de análise úteis feitos especialmente para o produto na guia Próximas etapas da página de conectores de dados do produto no portal do Microsoft Sentinel.

Se você não estiver vendo os dados, confira a página Solução de problemas do CEF para obter diretrizes.

Alterando a origem do campo TimeGenerated

Por padrão, o agente do Log Analytics preenche o campo TimeGenerated no esquema com a hora em que o agente recebeu o evento do daemon Syslog. Como resultado, a hora em que o evento foi gerado no sistema de origem não é registrada no Microsoft Sentinel.

No entanto, você pode executar o comando a seguir, que baixará e executará o script TimeGenerated.py. Esse script configura o agente de Log Analytics para preencher o campo TimeGenerated com a hora original do evento em seu sistema de origem, em vez da hora em que ele foi recebido pelo agente.

wget -O TimeGenerated.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/TimeGenerated.py && python TimeGenerated.py {ws_id}

Próximas etapas

Neste documento, você descobriu como o Microsoft Sentinel coleta os logs CEF dos dispositivos e aparelhos. Para saber mais sobre como conectar o produto ao Microsoft Sentinel, confira os seguintes artigos:

Para saber mais sobre o que fazer com os dados coletados no Microsoft Sentinel, confira os seguintes artigos: