Развертывание сервера пересылки журналов для приема журналов Syslog и CEF в Microsoft Sentinel

Внимание

Эта статья ссылается на CentOS, дистрибутив Linux, который приближается к состоянию конца жизни (EOL). Пожалуйста, рассмотрите возможность использования и планирования соответствующим образом. Дополнительные сведения см. в руководстве centOS End Of Life.

Чтобы получать журналы Syslog и CEF в Microsoft Sentinel, особенно на устройствах, на которые невозможно установить агент Log Analytics напрямую, необходимо назначить и настроить компьютер Linux, который будет собирать журналы с устройств и пересылать их в рабочую область Microsoft Sentinel. Это может быть физический или виртуальный компьютер в локальной среде, виртуальная машина Azure или виртуальная машина в другом облаке.

Этот компьютер содержит два компонента, которые принимают участие в этом процессе:

• Управляющая программа Syslog, либо rsyslog, либо syslog-ng, которая собирает журналы.
• Агент Log Analytics (также известный как агент OMS), который пересылает журналы в Microsoft Sentinel.

С помощью предоставленной ссылки ниже вы запустите на назначенном компьютере скрипт, выполняющий следующие задачи:

• Устанавливает агент Log Analytics для Linux (также известный как агент OMS) и настраивает его для следующих целей:

  • прослушивание сообщений CEF от встроенной управляющей программы системного журнала Linux на TCP-порте 25226;
  • безопасная отправка сообщений по протоколу TLS в рабочую область Microsoft Sentinel, где они анализируются и обогащаются.

• Настраивает встроенный демон системного журнала Linux (rsyslog.d/syslog-ng) для следующих целей:

  • прослушивание сообщений системного журнала от решений безопасности через TCP-порт 514;
  • переадресация только тех сообщений, которые идентифицируются как CEF, агенту анализа журналов на localhost с помощью TCP-порта 25226.

Внимание

Агент Log Analytics будет снят с учета 31 августа 2024 г.. Если вы используете агент Log Analytics в развертывании Microsoft Sentinel, рекомендуем начать планирование перехода на AMA. Дополнительные сведения см. в статье Переход на AMA для Microsoft Sentinel.

Сведения о развертывании журналов системного журнала и (или) CEF с помощью агента Azure Monitor см . в параметрах потоковой передачи журналов в формате CEF и Syslog в Microsoft Sentinel.

Необходимые компоненты

Каждый соединитель данных имеет собственный набор необходимых компонентов. Предварительные требования могут включать в себя наличие определенных разрешений в рабочей области Azure, подписке или политике. Кроме того, необходимо выполнить другие требования к источнику данных партнера, к которому вы подключаетесь.

Предварительные требования для каждого соединителя данных перечислены на соответствующей странице соединителя данных в Microsoft Sentinel.

Установите решение продукта из Центра содержимого в Microsoft Sentinel. Если продукт не указан, установите решение для общего формата событий. Дополнительные сведения см. в статье "Обнаружение и управление содержимым Microsoft Sentinel вне поля".

Внимание

Версии операционной системы могут иметь разные даты и жизненные циклы поддержки. Мы рекомендуем проверка официальную документацию каждого дистрибутива для наиболее точной и актуальной поддержки и окончания срока жизни.

Этот компьютер должен соответствовать следующим требованиям:

• Оборудование (физическое или виртуальное)

  • Компьютер Linux должен иметь как минимум 4 ядра ЦП и 8 ГБ ОЗУ.

    Примечание.

    • Один компьютер пересылки журналов с указанной выше конфигурацией оборудования и с помощью управляющей программы rsyslog имеет поддерживаемую емкость до 8500 событий в секунду (EPS).

• Операционная система

  • CentOS 7 и 8 (не 6), включая дополнительные номера версий (64-разрядная / 32-разрядная версия)
  • Amazon Linux 2 (только 64-разрядная версия)
  • Oracle Linux 7, 8 (64-разрядная или 32-разрядная версия)
  • Red Hat Enterprise Linux (RHEL) Server 7 и 8 (не 6), включая дополнительные номера версий (64-разрядная или 32-разрядная версия)
  • Debian GNU/Linux 8 и 9 (64-разрядная или 32-разрядная версия)
  • Ubuntu Linux 20.04 LTS (только 64-разрядная версия)
  • SUSE Linux Enterprise Server 12, 15 (только 64-разрядная версия)

• Версии управляющей программы

  • Rsyslog: v8
  • Syslog-ng: 2.1–3.22.1

• Пакеты

  • На компьютере Linux необходимо установить Python 2.7 или 3 .
    Для проверки используйте команду python --version или python3 --version.
  • У вас должен быть пакет GNU Wget .

• Поддержка спецификации RFC в Syslog

  • Syslog RFC 3164
  • Syslog RFC 5424

• Конфигурация

  • Вы должны обладать повышенными правами (sudo) на назначенном компьютере Linux.
  • Запрещается подключать компьютер Linux к рабочим областям Azure перед установкой агента Log Analytics.

• Данные

  • В этом процессе может потребоваться Идентификатор рабочей области и Первичный ключ рабочей области Microsoft Sentinel. Их можно найти в параметрах рабочей области в разделе Управление агентами.

Вопросы безопасности

Настраивать безопасность машины необходимо в соответствии с политикой безопасности организации. Например, вы можете настроить сеть в соответствии с корпоративной политикой безопасности сети, изменив порты и протоколы в управляющей программе согласно своим требованиям. Для укрепления безопасности компьютера можно воспользоваться следующими инструкциями: Обеспечение безопасности виртуальной машины в Azure и Рекомендации по сетевой безопасности.

Если ваши устройства отправляют журналы Syslog и CEF по протоколу TLS (из-за того, что, например, сервер пересылки журналов находится в облаке), необходимо настроить управляющую программу Syslog (rsyslog или syslog-ng) для обмена данными по протоколу TLS. Дополнительные сведения см. в следующей документации:

• Шифрование трафика Syslog с помощью TLS — rsyslog
• Шифрование сообщений журнала с помощью TLS — syslog-ng

Выполнение скрипта развертывания

1. В Microsoft Sentinel выберите соединители данных.

2. Выберите соединитель для продукта из коллекции соединителей. Если продукт не указан, выберите общий формат событий (CEF).

3. В области сведений для соединителя выберите страницу "Открыть соединитель".

4. На странице соединителя в инструкциях в разделе 1.2 Установка сборщика CEF на компьютере Linux скопируйте ссылку, указанную в разделе Запуск следующего сценария, чтобы установить и применить сборщик CEF.
   Если у вас отсутствует доступ к этой странице, скопируйте ссылку из текста ниже (скопируйте и вставьте Идентификатор рабочей области и Первичный ключ из вышеупомянутого места заполнителей):

   sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [WorkspaceID] [Workspace Primary Key]
   

5. Вставьте ссылку или текст в командную строку в вашем сервере пересылки журналов и выполните команду.

6. Во время запуска скрипта убедитесь, в отсутствии сообщений об ошибках и предупреждающих сообщений.

   • Вы можете получить сообщение с запросом на выполнение команды для устранения проблемы с сопоставлением поля Компьютер. Дополнительные сведения см. в объяснении скрипта развертывания.

7. Настройте свое устройство для отправки сообщений CEF.

   Примечание.

   Использование одного компьютера для пересылки простых сообщений системного журналаи CEF

   Если вы планируете использовать этот компьютер сервера пересылки журналов для переадресации сообщений системного журнала, а также CEF, то, во избежание дублирования событий в таблицы системного журнала и CommonSecurityLog,

   1. на каждом исходном компьютере, который отправляет серверу пересылки журналы в формате CEF, необходимо удалить из файла конфигурации системного журнала устройства, используемые для отправки сообщений CEF. Таким образом, средства, отправляемые в CEF, не будут отправляться в системный журнал. Подробные инструкции по выполнению этой задачи см. в разделе Настройка системного журнала на агенте Linux.

   2. На этих компьютерах необходимо выполнить приведенную ниже команду, чтобы отключить синхронизацию агента с конфигурацией системного журнала в Microsoft Sentinel. Выполнив эту команду, вы сможете быть уверены, что изменение конфигурации, выполненное на предыдущем шаге, не будет перезаписано.
      sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'

Описание скрипта развертывания

Ниже приведено пошаговое описание действий скрипта развертывания.

Выберите управляющую программу системного журнала, чтобы просмотреть соответствующее описание.

Управляющая программа rsyslog

1. Загрузка и установка агента Log Analytics

   • Загружает скрипт установки для агента Linux Log Analytics (OMS).

     wget -O onboard_agent.sh https://raw.githubusercontent.com/Microsoft/OMS-Agent-for-Linux/
         master/installer/scripts/onboard_agent.sh
     

   • Устанавливает агент Log Analytics.

     sh onboard_agent.sh -w [workspaceID] -s [Primary Key] -d opinsights.azure.com
     

2. Настройка конфигурации агента Log Analytics для прослушивания порта 25226 и пересылки сообщений CEF в Microsoft Sentinel:

   • Загружает конфигурацию из репозитория GitHub агента Log Analytics.

     wget -O /etc/opt/microsoft/omsagent/[workspaceID]/conf/omsagent.d/security_events.conf
         https://raw.githubusercontent.com/microsoft/OMS-Agent-for-Linux/master/installer/conf/
         omsagent.d/security_events.conf
     

3. Настройка управляющей программы syslog

   • Открывает порт 514 для TCP-связи с помощью файла конфигурации системного журнала /etc/rsyslog.conf.

   • Настраивает управляющую программу на пересылку сообщений CEF агенту Log Analytics через TCP-порт 25226 путем вставки специального файла конфигурации security-config-omsagent.conf в каталог управляющей программы системного журнала /etc/rsyslog.d/.

     Содержимое файла security-config-omsagent.conf:

     if $rawmsg contains "CEF:" or $rawmsg contains "ASA-" then @@127.0.0.1:25226 
     

4. Перезапуск управляющей программы Syslog и агента Log Analytics

   • Перезапускает управляющую программу rsyslog.

     service rsyslog restart
     

   • Перезапускает агент Log Analytics.

     /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

5. Проверка сопоставления поля Компьютер ожидаемым образом:

   • Позволяет убедиться, правильно ли сопоставлено поле Компьютер в источнике системного журнала, в агенте Log Analytics, используя следующую команду:

     grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb
     

   • Если при сопоставлении возникла ошибка, сценарий выдаст сообщение об ошибке, и укажет выполнить следующую команду вручную (вместо заполнителя используется идентификатор рабочей области). Команда обеспечит правильные сопоставление и перезапуск агента.

     sudo sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

управляющая программа syslog-ng

1. Загрузка и установка агента Log Analytics

   • Загружает скрипт установки для агента Linux Log Analytics (OMS).

     wget -O onboard_agent.sh https://raw.githubusercontent.com/Microsoft/OMS-Agent-for-Linux/
         master/installer/scripts/onboard_agent.sh
     

   • Устанавливает агент Log Analytics.

     sh onboard_agent.sh -w [workspaceID] -s [Primary Key] -d opinsights.azure.com
     

2. Настройка конфигурации агента Log Analytics для прослушивания порта 25226 и пересылки сообщений CEF в Microsoft Sentinel:

   • Загружает конфигурацию из репозитория GitHub агента Log Analytics.

     wget -O /etc/opt/microsoft/omsagent/[workspaceID]/conf/omsagent.d/security_events.conf
         https://raw.githubusercontent.com/microsoft/OMS-Agent-for-Linux/master/installer/conf/
         omsagent.d/security_events.conf
     

3. Настройка управляющей программы syslog

   • Открывает порт 514 для TCP-связи с помощью файла конфигурации системного журнала /etc/syslog-ng/syslog-ng.conf.

   • Настраивает управляющую программу на пересылку сообщений CEF агенту Log Analytics через TCP-порт 25226 путем вставки специального файла конфигурации security-config-omsagent.conf в каталог управляющей программы системного журнала /etc/syslog-ng/conf.d/.

     Содержимое файла security-config-omsagent.conf:

     filter f_oms_filter {match("CEF\|ASA" ) ;};destination oms_destination {tcp("127.0.0.1" port(25226));};
     log {source(s_src);filter(f_oms_filter);destination(oms_destination);};
     

4. Перезапуск управляющей программы Syslog и агента Log Analytics

   • Перезапускает управляющую программу syslog-ng.

     service syslog-ng restart
     

   • Перезапускает агент Log Analytics.

     /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

5. Проверка сопоставления поля Компьютер ожидаемым образом:

   • Позволяет убедиться, правильно ли сопоставлено поле Компьютер в источнике системного журнала, в агенте Log Analytics, используя следующую команду:

     grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb
     

   • Если при сопоставлении возникла ошибка, сценарий выдаст сообщение об ошибке, и укажет выполнить следующую команду вручную (вместо заполнителя используется идентификатор рабочей области). Команда обеспечит правильные сопоставление и перезапуск агента.

     sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

Следующие шаги

С помощью этой документации вы узнали, как развернуть агент Log Analytics, чтобы подключить устройства CEF к Microsoft Sentinel. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:

• Ознакомьтесь со сведениями о сопоставлении полей CEF и CommonSecurityLog.
• Узнайте, как отслеживать свои данные и потенциальные угрозы.
• Узнайте, как приступить к обнаружению угроз с помощью Microsoft Sentinel.