Coletar os dados das fontes baseadas no Linux usando o Syslog

Cuidado

Este artigo faz referência ao CentOS, uma distribuição do Linux que está se aproximando do status de EOL (fim da vida útil). Considere seu uso e planejamento adequadamente. Para obter mais informações, confira as Diretrizes de Fim do Suporte do CentOS.

Observação

Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.

O Syslog é um protocolo de registro de eventos em log que é comum para o Linux. Você pode usar o daemon Syslog integrado aos dispositivos Linux para coletar eventos locais dos tipos que você especificar e fazer com que ele envie esses eventos para o Microsoft Sentinel usando o agente do Log Analytics para Linux (anteriormente conhecido como agente OMS).

Este artigo descreve como conectar suas fontes de dados ao Microsoft Sentinel usando Syslog. Para obter mais informações sobre conectores compatíveis que usam esse método, confira Referência de conectores de dados.

Saiba como coletar o Syslog com o Agente do Azure Monitor, incluindo como configurar o Syslog e criar um DCR.

Importante

O agente do Log Analytics será desativado em 31 de agosto de 2024. Se você estiver usando o agente do Log Analytics na implantação do Microsoft Sentinel, recomendamos que você comece a planejar a migração para o AMA. Para obter mais informações, consulte Migração para o AMA para Microsoft Sentinel.

Para obter informações sobre como implantar logs do Syslog e/ou CEF com o Agente do Azure Monitor, examine as opções de transmissão de logs no formato CEF e Syslog para o Microsoft Sentinel.

Arquitetura

Quando o agente do Log Analytics é instalado na VM ou no dispositivo, o script de instalação configura o daemon local do Syslog para encaminhar as mensagens para o agente na porta UDP 25224. Depois de receber as mensagens, o agente as envia para seu workspace do Log Analytics por HTTPS, onde elas são ingeridas na tabela Syslog no Microsoft Sentinel > Logs.

Para obter mais informações, veja Fontes de dados do Syslog no Azure Monitor.

Este diagrama mostra o fluxo de dados das fontes Syslog para o workspace do Microsoft Sentinel, em que o agente do Log Analytics é instalado diretamente no dispositivo da fonte de dados.

Para alguns tipos de dispositivos que não permitem a instalação local do agente do Log Analytics, o agente pode ser instalado em substituição a um encaminhador de log baseado em Linux dedicado. O dispositivo de origem deve ser configurado para enviar eventos de Syslog para o daemon do Syslog nesse encaminhador em vez do daemon local. O daemon do Syslog no encaminhador envia eventos para o agente do Log Analytics por UDP. Se for esperado que esse encaminhador do Linux colete um alto volume de eventos de Syslog, seu daemon do Syslog enviará eventos para o agente por TCP. Em ambos os casos, o agente envia os eventos a partir daí para seu workspace do Log Analytics no Microsoft Sentinel.

Este diagrama mostra o fluxo de dados das fontes Syslog para o workspace do Microsoft Sentinel, em que o agente do Log Analytics é instalado em um dispositivo separado de encaminhamento de logs.

Observação

  • Se o dispositivo oferecer suporte ao CEF (Formato Comum de Evento) no Syslog, um conjunto de dados mais completo será coletado e os dados serão analisados na coleção. Você deve escolher essa opção e seguir as instruções em Obter logs formatados por CEF do seu dispositivo no Microsoft Sentinel.

  • O Log Analytics dá suporte à coleta de mensagens enviadas pelos daemons rsyslog ou syslog-ng, em que rsyslog é o padrão. O daemon Syslog padrão na versão 5 do Red Hat Enterprise Linux (RHEL), CentOS e na versão Oracle Linux (sysklog) não é compatível com a coleta de eventos do Syslog. Para coletar dados de syslog nessa versão das distribuições, o daemon rsyslog deverá ser instalado e configurado para substituir sysklog.

Há três etapas para configurar a coleta de Syslog:

  • Configure o dispositivo Linux. Isso se refere ao dispositivo no qual o agente do Log Analytics será instalado, seja ele o mesmo dispositivo que origina os eventos ou um coletor de logs que os encaminhará.

  • Defina as configurações de log do aplicativo correspondentes ao local do daemon Syslog que enviará eventos para o agente.

  • Configure o agente do Log Analytics. Isso é feito pelo Microsoft Sentinel, e a configuração é enviada para todos os agentes instalados.

Pré-requisitos

Antes de começar, instale a solução para o Syslog no Hub de Conteúdos no Microsoft Sentinel. Para obter mais informações, consulte Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel.

Configurar o computador ou dispositivo Linux

  1. No menu de navegação do Microsoft Sentinel, selecione Conectores de dados.

  2. Na galeria de conectores, escolha Syslog e Abrir página de conectores.

    Se o tipo de dispositivo estiver listado na Galeria de conectores de dados do Microsoft Sentinel, escolha o conector para seu dispositivo em vez do conector de Syslog genérico. Se houver instruções adicionais ou especiais para o tipo de dispositivo, você as verá com conteúdo personalizado, como pastas de trabalho e modelos de regra de análise, na página de conector do seu dispositivo.

  3. Instale o agente do Linux. Em Escolha onde instalar o agente:

    Tipo de computador Instruções
    Para uma VM do Linux do Azure 1. Expanda Instalar o agente em uma máquina virtual Linux do Azure.

    2. 2. Escolha o link Baixar e instalar o agente para máquinas virtuais Linux do Azure >.

    3. Na folha Máquinas virtuais, selecione uma máquina virtual para instalar o agente e, em seguida, escolha Conectar. Repita essa etapa para cada VM que você deseja conectar.
    Para qualquer outro computador Linux 1. Expanda Instalar o agente em um computador Linux que não seja do Azure

    2. Escolha o link Baixar e instalar o agente para máquinas Linux não Azure >.

    3. Na folha Gerenciamento de agentes, clique na guia Servidores Linux e, em seguida, copie o comando para Baixar e carregar o agente para Linux e execute-o no computador Linux.

    Se você quiser manter uma cópia local do arquivo de instalação do agente do Linux, escolha o link Baixar Agente do Linux acima do comando "Baixar e integrar agente".

    Observação

    Configure a segurança para esses dispositivos de acordo com a política de segurança da sua organização. Por exemplo, você pode configurar a rede para que seja alinhada à política de segurança de rede da sua organização e alterar as portas e os protocolos do daemon para que sejam alinhados aos requisitos de segurança.

Usar o mesmo computador para encaminhar mensagens planas do Syslog e do CEF

Você pode usar o computador de encaminhador de log do CEF existente para coletar e encaminhar logs de fontes do Syslog simples também. No entanto, você deve executar as etapas a seguir para evitar o envio de eventos em ambos os formatos para o Microsoft Sentinel, pois isso resultará em duplicação de eventos.

Já configurou a coleta de dados das fontes do CEF e configurou o agente do Log Analytics:

  1. Em cada computador que envia logs para o encaminhador no formato CEF, você deve editar o arquivo de configuração do Syslog para remover as instalações usadas para enviar mensagens do CEF. Dessa forma, as instalações enviadas no CEF também não serão enviadas no Syslog. Consulte Configurar Syslog no agente do Linux para obter instruções detalhadas sobre como fazer isso.

  2. Você deve executar o comando a seguir nessas máquinas para desabilitar a sincronização do agente com a configuração de Syslog no Microsoft Sentinel. Isso garante que a alteração de configuração feita na etapa anterior não seja substituída.

    sudo -u omsagent python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable
    

Definir as configurações de log do seu dispositivo

Muitos tipos de dispositivo têm seus próprios conectores de dados que aparecem na galeria Conectores de dados. Alguns desses conectores exigem outras instruções especiais para configurar corretamente a coleta de logs no Microsoft Sentinel. Essas instruções podem incluir a implementação de um analisador com base em uma função Kusto.

Todos os conectores listados na galeria exibirão instruções específicas em suas respectivas páginas do conector no portal, bem como em suas seções da página referência de conectores de dados do Microsoft Sentinel.

Se as instruções na página do conector de dados no Microsoft Sentinel indicarem que as funções Kusto são implantadas como analisadores do ASIM (Modelo de Informações de Segurança Avançado), verifique se os analisadores do ASIM foram implantados no workspace.

Use o link na página do conector de dados para implantar seus analisadores ou siga as instruções do repositório GitHub do Microsoft Sentinel.

Para obter mais informações, confira Analisadores do ASIM (Modelo de Informações de Segurança Avançado).

Configurar o agente do Log Analytics

  1. Na parte inferior da folha do conector do Syslog, escolha o link Abrir a configuração de agentes do workspace >.

  2. Na página Gerenciamento de agentes herdados, adicione as instalações para o conector coletar. Selecione Adicionar instalação e escolha na lista suspensa de instalações.

    • Adicione as instalações que o dispositivo do Syslog inclui em seus cabeçalhos de log.

    • Se você quiser usar a detecção de logon de SSH anormal com os dados coletados, adicione auth e authpriv. Veja a seção a seguir para obter mais detalhes.

  3. Depois de adicionar todos os recursos que você deseja monitorar, desmarque as caixas de seleção das severidades que você não quer coletar. Por padrão, eles ficam marcados.

  4. Selecione Aplicar.

  5. Na VM ou dispositivo, verifique se você está enviando as instalações que você especificou.

Localizar seus dados

  1. Para consultar os dados de log do Syslog em Logs, digite Syslog na janela de consulta.

    (Alguns conectores que usam o mecanismo do Syslog podem armazenar os respectivos dados em tabelas diferentes de Syslog. Consulte a seção do conector na página Referência de conectores de dados do Microsoft Sentinel.)

  2. Você pode usar os parâmetros de consulta descritos em Usar funções em consultas de log do Azure Monitor para analisar as mensagens do Syslog. Em seguida, você pode salvar a consulta como uma nova função do Log Analytics e usá-la como um novo tipo de dados.

Configurar o conector do Syslog para detecção de logon de SSH anormal

Importante

A detecção de logon SSH anômala está atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

O Microsoft Sentinel pode aplicar o aprendizado de máquina (ML) aos dados do Syslog para identificar a atividade de logon do Secure Shell (SSH) anormal. Os cenários incluem:

  • Viagem impossível – quando dois eventos de logon bem-sucedidos ocorrem em dois locais que são impossíveis de alcançar dentro do período de dois eventos de logon.

  • Local inesperado – o local de onde ocorreu um evento de logon bem-sucedido é suspeito. Por exemplo, o local não foi visto recentemente.

Essa detecção requer uma configuração específica do conector de dados do Syslog:

  1. Para a etapa 2 em Configurar o agente do Log Analytics acima, verifique se autenticação e authpriv estão selecionadas como instalações para monitorar e se todas as severidades estão selecionadas.

  2. Aguarde tempo suficiente para que as informações do Syslog sejam coletadas. Em seguida, navegue até Microsoft Sentinel – Logs e copie e cole a seguinte consulta:

    Syslog
    | where Facility in ("authpriv","auth")
    | extend c = extract( "Accepted\\s(publickey|password|keyboard-interactive/pam)\\sfor ([^\\s]+)",1,SyslogMessage)
    | where isnotempty(c)
    | count 
    

    Altere o Intervalo de tempo, se necessário, e selecione Executar.

    Se a contagem resultante for zero, confirme a configuração do conector e se os computadores monitorados têm atividade de logon bem-sucedida para o período de tempo especificado para a consulta.

    Se a contagem resultante for maior que zero, os dados do Syslog serão adequados para a detecção de logon de SSH anormal. Você habilita essa detecção em Análise>Modelos de regra>(Visualização) Detecção de logon SSH anormal.

Próximas etapas

Neste documento, você aprendeu a conectar dispositivos locais do Syslog ao Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos: