Implantar um encaminhador de registro para ingerir logs de Syslog e CEF para o Microsoft Sentinel

Cuidado

Este artigo faz referência ao CentOS, uma distribuição do Linux que está se aproximando do status de EOL (fim da vida útil). Considere seu uso e planejamento adequadamente. Para obter mais informações, confira as Diretrizes de Fim do Suporte do CentOS.

Para ingerir os logs de Syslog e CEF no Microsoft Sentinel, particularmente de dispositivos e aparelhos nos quais você não pode instalar o agente de Análise de logs diretamente, você precisará designar e configurar um computador Linux que coletará os logs de seus dispositivos e os encaminhará ao seu espaço de trabalho do Microsoft Sentinel. Esse computador pode ser físico ou virtual no ambiente local, uma VM do Azure ou uma VM em outra nuvem.

Este computador tem dois componentes que fazem parte desse processo:

• Um daemon de syslog, rsyslog ou syslog-ng, que coleta os logs.
• O Agente de Análise de Logs (também conhecido como agente do Microsoft Operations Management Suite), que encaminha os logs para o Microsoft Sentinel.

Usando o link fornecido abaixo, você executará um script no computador designado que realizará as seguintes tarefas:

• Instala o agente do Log Analytics para Linux (também conhecido como agente do OMS) e o configura para as seguintes finalidades:

  • escutar as mensagens do CEF no daemon do Syslog do Linux interno na porta TCP 25226
  • enviar as mensagens com segurança por TLS para seu espaço de trabalho do Microsoft Sentinel, onde elas são analisadas e aprimoradas

• Configura o daemon do Syslog do Linux interno (rsyslog.d/syslog-ng) para as seguintes finalidades:

  • escutar as mensagens do Syslog das soluções de segurança na porta TCP 514
  • encaminhar somente as mensagens que identificar como CEF para o agente do Log Analytics no localhost usando a porta TCP 25226

Importante

O agente do Log Analytics será desativado em 31 de agosto de 2024. Se você estiver usando o agente do Log Analytics na implantação do Microsoft Sentinel, recomendamos que você comece a planejar a migração para o AMA. Para obter mais informações, consulte Migração para o AMA para Microsoft Sentinel.

Para obter informações sobre como implantar logs do Syslog e/ou CEF com o Agente do Azure Monitor, examine as opções de logs de streaming no formato CEF e Syslog no Microsoft Sentinel.

Pré-requisitos

Cada conector de dados tem seu próprio conjunto de pré-requisitos. Os pré-requisitos podem incluir que você deve ter permissões específicas em seu workspace, assinatura ou política do Azure. Ou você deve atender a outros requisitos para a fonte de dados do parceiro à qual está se conectando.

Os pré-requisitos para cada conector de dados estão listados na página do conector de dados relevante no Microsoft Sentinel.

Instale a solução de produto do Hub de Conteúdo no Microsoft Sentinel. Se o produto não estiver listado, instale a solução para Formato Comum de Evento. Para obter mais informações, consulte Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel.

Importante

As versões do sistema operacional podem ter datas de suporte e ciclos de vida diferentes. Recomendamos que você verifique a documentação oficial de cada distribuição para obter o suporte e as datas de fim da vida útil mais precisos e atualizados.

Seu computador deve atender aos seguintes requisitos:

• Hardware (físico/virtual)

  • Seu computador Linux deve ter um mínimo de 4 núcleos de CPU e 8 GB de RAM.

    Observação

    • Apenas um computador encaminhador de log com a configuração de hardware acima e usando o daemon rsyslog tem uma capacidade com suporte de até 8500 EPS (eventos por segundo) coletados.

• Sistema operacional

  • CentOS 7 e 8 (não 6), incluindo versões secundárias (64 bits/32 bits)
  • Amazon Linux 2 (somente 64 bits)
  • Oracle Linux 7, 8 (64 bits/32 bits)
  • Red Hat Enterprise Linux (RHEL) Servidor 7 e 8 (não 6), incluindo versões secundárias (64 bits/32 bits)
  • Debian GNU/Linux 8 e 9 (64 bits/32 bits)
  • Ubuntu Linux 20.04 LTS (somente 64 bits)
  • SUSE Linux Enterprise Server 12, 15 (somente 64 bits)

• Versões do daemon

  • Rsyslog: v8
  • Syslog-ng: 2.1 - 3.22.1

• Pacotes

  • Você precisa ter o Python 2.7 ou 3 instalado no computador Linux.
    Use o comando python --version ou python3 --version para verificar.
  • Você deve ter o pacote Wget do GNU.

• Suporte RFC do syslog

  • Syslog RFC 3164
  • Syslog RFC 5424

• Configuration

  • Você deve ter permissões elevadas (sudo) em seu computador Linux designado.
  • O computador Linux não deve estar conectado a nenhum Workspace do Azure antes de instalar o agente de Log Analytics.

• Dados

  • Talvez seja necessário a ID de Workspace do espaço de trabalho do Microsoft Sentinel e a Chave Primária do Workspace em algum momento nesse processo. Você pode encontrá-los na configuração do espaço de trabalho, em Gerenciamento de agentes.

Considerações de segurança

Configure a segurança do computador de acordo com a política de segurança da organização. Por exemplo, você pode configurar a rede para ser alinhada à política de segurança de rede corporativa e alterar as portas e os protocolos do daemon para que sejam alinhados aos requisitos. Você pode usar as instruções a seguir para melhorar a configuração de segurança do computador: VM segura no Azure, Práticas recomendadas para segurança de rede.

Se seus dispositivos estiverem enviando logs Syslog e CEF por TLS (porque, por exemplo, o encaminhador de log está na nuvem), você precisará configurar o daemon Syslog (rsyslog ou syslog-ng) para se comunicar em TLS. Para obter detalhes, confira a seguinte documentação:

• Criptografando o tráfego do Syslog com TLS – rsyslog
• Criptografando mensagens de log com TLS – syslog-ng

Executar o script de implantação

1. No Microsoft Sentinel, selecione Conectores de dados.

2. Selecione o conector do produto na galeria de conectores. Se o produto não estiver listado, selecione CEF (Formato Comum de Evento).

3. No painel de detalhes, selecione Abrir página do conector.

4. Na página do conector, nas instruções em 1.2 Instalar o coletor CEF no computador Linux, copie o link fornecido em Executar o script a seguir para instalar e aplicar o coletor CEF.
   Se você não tem acesso a essa página, copie o link do texto abaixo (copiando e colando a ID de workspace e a Chave primária acima no lugar dos espaços reservados):

   sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [WorkspaceID] [Workspace Primary Key]
   

5. Cole o link ou o texto na linha de comando no encaminhador de registro e execute-o.

6. Enquanto o script estiver em execução, verifique se você não recebe mensagens de erro ou de aviso.

   • Você pode receber uma mensagem direcionando para executar um comando para corrigir um problema com o mapeamento do campo Computador. Consulte a explicação no script de implantação para obter detalhes.

7. Configurar o dispositivo para enviar mensagens CEF.

   Observação

   O cliente está usando o mesmo computador para encaminhar mensagens simples de Syslog e de CEF

   Se você planeja usar esse computador do encaminhador de logs para encaminhar as mensagens do Syslog como CEF, para evitar a duplicação de eventos para as tabelas Syslog e CommonSecurityLog:

   1. Em cada computador de origem que envia logs para o encaminhador no formato CEF, você deve editar o arquivo de configuração do Syslog para remover as instalações usadas para enviar mensagens do CEF. Dessa forma, os recursos enviados no CEF também não serão enviados no Syslog. Consulte Configurar Syslog no agente do Linux para obter instruções detalhadas sobre como fazer isso.

   2. Você deve executar o comando a seguir nessas máquinas para desabilitar a sincronização do agente com a configuração de Syslog no Microsoft Sentinel. Isso garante que a alteração de configuração feita na etapa anterior não seja substituída.
      sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'

Script de implantação explicado

A seguir está uma descrição de comando por comando das ações do script de implantação.

Escolha um daemon syslog para ver a descrição apropriada.

daemon do rsyslog

1. Baixando e instalando o agente de Log Analytics:

   • Baixa o script de instalação para o agente do Log Analytics (OMS) do Linux.

     wget -O onboard_agent.sh https://raw.githubusercontent.com/Microsoft/OMS-Agent-for-Linux/
         master/installer/scripts/onboard_agent.sh
     

   • Instala o agente de Log Analytics.

     sh onboard_agent.sh -w [workspaceID] -s [Primary Key] -d opinsights.azure.com
     

2. Definindo a configuração do agente de Log Analytics para escutar na porta 25226 e encaminhar mensagens CEF para o Microsoft Sentinel:

   • Baixa a configuração do repositório GitHub do agente de Log Analytics.

     wget -O /etc/opt/microsoft/omsagent/[workspaceID]/conf/omsagent.d/security_events.conf
         https://raw.githubusercontent.com/microsoft/OMS-Agent-for-Linux/master/installer/conf/
         omsagent.d/security_events.conf
     

3. Configurando o daemon do Syslog:

   • Abre a porta 514 para a comunicação TCP usando o arquivo de configuração do syslog /etc/rsyslog.conf.

   • Configura o daemon para encaminhar mensagens CEF para o agente de Log Analytics na porta TCP 25226, inserindo um arquivo de configuração especial security-config-omsagent.conf no diretório do daemon do syslog /etc/rsyslog.d/.

     Conteúdo do arquivo security-config-omsagent.conf:

     if $rawmsg contains "CEF:" or $rawmsg contains "ASA-" then @@127.0.0.1:25226 
     

4. Reiniciando o daemon do Syslog e o agente de Log Analytics:

   • Reinicia o daemon rsyslog.

     service rsyslog restart
     

   • Reinicia o agente de Log Analytics.

     /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

5. Verificando o mapeamento do campo Computador conforme esperado:

   • Garante que o campo Computador na origem do syslog esteja corretamente mapeado no agente de log Analytics, usando o seguinte comando:

     grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb
     

   • Se houver um problema com o mapeamento, o script produzirá uma mensagem de erro direcionando você para executar manualmente o comando a seguir (aplicando a ID do Workspace no lugar do espaço reservado). O comando garantirá o mapeamento correto e reiniciará o agente.

     sudo sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

daemon do syslog-ng

1. Baixando e instalando o agente de Log Analytics:

   • Baixa o script de instalação para o agente do Log Analytics (OMS) do Linux.

     wget -O onboard_agent.sh https://raw.githubusercontent.com/Microsoft/OMS-Agent-for-Linux/
         master/installer/scripts/onboard_agent.sh
     

   • Instala o agente de Log Analytics.

     sh onboard_agent.sh -w [workspaceID] -s [Primary Key] -d opinsights.azure.com
     

2. Definindo a configuração do agente de Log Analytics para escutar na porta 25226 e encaminhar mensagens CEF para o Microsoft Sentinel:

   • Baixa a configuração do repositório GitHub do agente de Log Analytics.

     wget -O /etc/opt/microsoft/omsagent/[workspaceID]/conf/omsagent.d/security_events.conf
         https://raw.githubusercontent.com/microsoft/OMS-Agent-for-Linux/master/installer/conf/
         omsagent.d/security_events.conf
     

3. Configurando o daemon do Syslog:

   • Abre a porta 514 para a comunicação TCP usando o arquivo de configuração do syslog /etc/syslog-ng/syslog-ng.conf.

   • Configura o daemon para encaminhar mensagens CEF para o agente de Log Analytics na porta TCP 25226, inserindo um arquivo de configuração especial security-config-omsagent.conf no diretório do daemon do syslog /etc/syslog-ng/conf.d/.

     Conteúdo do arquivo security-config-omsagent.conf:

     filter f_oms_filter {match("CEF\|ASA" ) ;};destination oms_destination {tcp("127.0.0.1" port(25226));};
     log {source(s_src);filter(f_oms_filter);destination(oms_destination);};
     

4. Reiniciando o daemon do Syslog e o agente de Log Analytics:

   • Reinicia o daemon syslog-ng.

     service syslog-ng restart
     

   • Reinicia o agente de Log Analytics.

     /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

5. Verificando o mapeamento do campo Computador conforme esperado:

   • Garante que o campo Computador na origem do syslog esteja corretamente mapeado no agente de log Analytics, usando o seguinte comando:

     grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb
     

   • Se houver um problema com o mapeamento, o script produzirá uma mensagem de erro direcionando você para executar manualmente o comando a seguir (aplicando a ID do Workspace no lugar do espaço reservado). O comando garantirá o mapeamento correto e reiniciará o agente.

     sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

Próximas etapas

Neste documento, você aprendeu a implantar o agente de Log Analytics para conectar dispositivos CEF ao Microsoft Sentinel. Para saber mais sobre o Microsoft Azure Sentinel, confira os artigos a seguir:

• Saiba mais sobre o mapeamento de campo CEF e CommonSecurityLog.
• Saiba como obter visibilidade dos seus dados e possíveis ameaças.
• Introdução à detecção de ameaças com o Microsoft Sentinel.