Mata in Syslog- och CEF-meddelanden till Microsoft Sentinel med Azure Monitor-agenten

Den här artikeln beskriver hur du använder Syslog via AMA och Common Event Format (CEF) via AMA-anslutningsappar för att snabbt filtrera och mata in Syslog-meddelanden, inklusive meddelanden i Common Event Format (CEF), från Linux-datorer och från nätverk och säkerhetsenheter och enheter. Mer information om dessa dataanslutningar finns i Syslog och Common Event Format (CEF) via AMA-anslutningsappar för Microsoft Sentinel.

Förutsättningar

Innan du börjar måste du ha resurserna konfigurerade och lämpliga behörigheter som beskrivs i det här avsnittet.

Krav för Microsoft Sentinel

Installera lämplig lösning för Microsoft Sentinel och se till att du har behörighet att slutföra stegen i den här artikeln.

• Installera lämplig lösning – Syslog och/eller Common Event Format från innehållshubben i Microsoft Sentinel. Mer information finns i Identifiera och hantera innehåll i Microsoft Sentinel out-of-the-box.

• Ditt Azure-konto måste ha följande roller för rollbaserad åtkomstkontroll i Azure (Azure RBAC):

  Inbyggd roll	Omfattning	Anledning
  - Virtuell datordeltagare - Azure Anslut ed Machine    Resursadministratör	Virtuella datorer (VM) Virtual Machine Scale Sets Azure Arc-aktiverade servrar	Distribuera agenten
  Alla roller som innehåller åtgärden Microsoft.Resources/deployments/*	Prenumeration Resursgrupp Befintlig datainsamlingsregel	Så här distribuerar du Azure Resource Manager-mallar
  Övervakningsdeltagare	Prenumeration Resursgrupp Befintlig datainsamlingsregel	Så här skapar eller redigerar du regler för datainsamling

Krav för loggvidare

Om du samlar in meddelanden från en loggvidare gäller följande krav:

• Du måste ha en utsedd virtuell Linux-dator som loggvidare för att kunna samla in loggar.

  • Skapa en virtuell Linux-dator i Azure-portalen.
  • Linux-operativsystem som stöds för Azure Monitor Agent.

• Om loggvidare inte är en virtuell Azure-dator måste azure Arc-Anslut d machine-agenten vara installerad på den.

• Den virtuella Linux-loggvidaredatorn måste ha Python 2.7 eller 3 installerat. python --version Använd kommandot eller python3 --version för att kontrollera. Om du använder Python 3 kontrollerar du att det är inställt som standardkommando på datorn eller kör skript med kommandot "python3" i stället för "python".

• Loggvidare måste ha antingen syslog-ng daemon aktiverat.rsyslog

• Utrymmeskrav för din loggvidare finns i Prestandamått för Azure Monitor Agent. Du kan också granska det här blogginlägget, som innehåller design för skalbar inmatning.

• Dina loggkällor, säkerhetsenheter och enheter måste konfigureras för att skicka sina loggmeddelanden till loggvidares Syslog-daemon i stället för till deras lokala Syslog-daemon.

Krav för datorsäkerhet

Konfigurera datorns säkerhet enligt organisationens säkerhetsprincip. Konfigurera till exempel nätverket så att det överensstämmer med företagets nätverkssäkerhetsprincip och ändra portarna och protokollen i daemonen så att de överensstämmer med dina krav. För att förbättra datorns säkerhetskonfiguration kan du skydda den virtuella datorn i Azure eller granska de här metodtipsen för nätverkssäkerhet.

Om dina enheter skickar Syslog- och CEF-loggar via TLS eftersom till exempel loggvidare finns i molnet måste du konfigurera Syslog-daemon (rsyslog eller syslog-ng) för att kommunicera i TLS. Mer information finns i:

• Kryptera Syslog-trafik med TLS – rsyslog
• Kryptera loggmeddelanden med TLS – syslog-ng

Konfigurera datakopplingen

Konfigurationsprocessen för Syslog via AMA eller Common Event Format (CEF) via AMA-dataanslutningar innehåller följande steg:

1. Installera Azure Monitor-agenten och skapa en datainsamlingsregel (DCR) med någon av följande metoder:
   • Azure- eller Defender-portalen
   • Inmatnings-API för Azure Monitor-loggar
2. Om du samlar in loggar från andra datorer med hjälp av en loggvidare kör du installationsskriptet på loggvidare för att konfigurera Syslog-daemon att lyssna efter meddelanden från andra datorer och öppna nödvändiga lokala portar.

Välj lämplig flik för instruktioner.

Azure- eller Defender-portalen

Skapa datainsamlingsregel

Kom igång genom att öppna dataanslutningsappen i Microsoft Sentinel och skapa en dataanslutningsregel.

1. För Microsoft Sentinel i Azure-portalen går du till Konfiguration och väljer Dataanslutningar.
   För Microsoft Sentinel i Defender-portalen väljer du Anslutningsappar för Microsoft Sentinel-konfigurationsdata>>.

2. För syslog skriver du Syslog i sökrutan. I resultatet väljer du Syslog via AMA-anslutningsappen .
   För CEF skriver du CEF i sökrutan. I resultaten väljer du Common Event Format (CEF) via AMA-anslutningsappen .

3. Välj Sidan Öppna anslutningsapp i informationsfönstret.

4. I området Konfiguration väljer du +Skapa datainsamlingsregel.

   

   

5. På fliken Grundläggande :

   • Skriv ett DCR-namn.
   • Välj din prenumeration.
   • Välj den resursgrupp där du vill hitta domänkontrollanten.

   

6. Välj Nästa: Resurser >.

Definiera VM-resurser

På fliken Resurser väljer du de datorer där du vill installera AMA– i det här fallet din loggvidaredator. Om loggvidare inte visas i listan kanske inte Azure Anslut ed Machine-agenten är installerad.

1. Använd de tillgängliga filtren eller sökrutan för att hitta den virtuella datorn för loggvidare. Expandera en prenumeration i listan för att se dess resursgrupper och en resursgrupp för att se dess virtuella datorer.

2. Välj den virtuella loggvidaredator som du vill installera AMA på. Kryssrutan visas bredvid namnet på den virtuella datorn när du hovrar över den.

   

3. Granska ändringarna och välj Nästa: Samla in >.

Välj anläggningar och allvarlighetsgrad

Tänk på att användning av samma anläggning för både Syslog- och CEF-meddelanden kan leda till datainmatningsduplicering. Mer information finns i Undvikande av datainmatningsduplicering.

1. På fliken Samla in väljer du den lägsta loggnivån för varje anläggning. När du väljer en loggnivå samlar Microsoft Sentinel in loggar för den valda nivån och andra nivåer med högre allvarlighetsgrad. Om du till exempel väljer LOG_ERR samlar Microsoft Sentinel in loggar för nivåerna LOG_ERR, LOG_CRIT, LOG_ALERT och LOG_EMERG .

   

2. Granska dina val och välj Nästa: Granska + skapa.

Granska och skapa regeln

När du har slutfört alla flikar granskar du det du angav och skapar datainsamlingsregeln.

1. På fliken Granska och skapa väljer du Skapa.

   

   Anslutningsappen installerar Azure Monitor-agenten på de datorer som du valde när du skapade din DCR.

2. Kontrollera meddelandena i Azure-portalen eller Microsoft Defender-portalen för att se när DCR skapas och agenten är installerad.

3. Välj Uppdatera på anslutningssidan för att se DCR som visas i listan.

Loggar inmatnings-API

Installera Azure Monitor-agenten

Följ lämpliga instruktioner i Azure Monitor-dokumentationen för att installera Azure Monitor-agenten på loggvidare. Kom ihåg att använda instruktionerna för Linux, inte för Windows.

• Installera AMA med PowerShell
• Installera AMA med hjälp av Azure CLI
• Installera AMA med hjälp av en Azure Resource Manager-mall

Du kan skapa datainsamlingsregler (DCR) med hjälp av AZURE Monitor Logs Ingestion API. Mer information finns i Datainsamlingsregler i Azure Monitor.

Skapa datainsamlingsregeln

Skapa en JSON-fil för datainsamlingsregeln, skapa en API-begäran och skicka begäran.

1. Förbered en DCR-fil i JSON-format. Innehållet i den här filen är begärandetexten i din API-begäran.

   Ett exempel finns i Begärandetext för skapande av Syslog/CEF DCR. Information om hur du samlar in Syslog- och CEF-meddelanden i samma datainsamlingsregel finns i exemplet syslog- och CEF-strömmar i samma DCR.

   • Kontrollera att fältet är inställt på streamsMicrosoft-Syslog för Syslog-meddelanden eller till Microsoft-CommonSecurityLog för CEF-meddelanden.
   • Lägg till filter- och anläggningsloggnivåerna i parametrarna facilityNames och logLevels . Se Exempel på avsnitt om anläggningar och loggnivåer.

2. Skapa en API-begäran i en REST API-klient som du väljer.

   1. Kopiera följande begärande-URL och sidhuvud för begärande-URL:en och -huvudet.

      PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2022-06-01
      

      • Ersätt lämpliga värden för {subscriptionId} platshållarna och {resourceGroupName} .
      • Ange ett valfritt namn för DCR i stället {dataCollectionRuleName} för platshållaren.

   2. För begärandetexten kopierar och klistrar du in innehållet i DCR JSON-filen som du skapade (i steg 1 ovan) i begärandetexten.

3. Skicka begäran.

   Ett exempel på det svar som du bör få finns i skapandesvaret för Syslog/CEF DCR.

Associera DCR med loggvidare

Nu måste du skapa en DCR Association (DCRA) som binder DCR till den VM-resurs som är värd för loggvidare.

1. Skapa en API-begäran i en REST API-klient som du väljer.

2. Kopiera följande begärande-URL och sidhuvud för begärande-URL:en och rubriken.

   PUT 
   https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{virtualMachineName}/providers/Microsoft.Insights/dataCollectionRuleAssociations/{dataCollectionRuleAssociationName}?api-version=2022-06-01
   

   • Ersätt lämpliga värden för {subscriptionId}platshållarna , {resourceGroupName}och {virtualMachineName} .
   • Ange ett valfritt namn för DCR i stället {dataCollectionRuleAssociationName} för platshållaren.

3. Kopiera följande begärandetext för begärandetexten.

   {
     "properties": {
       "dataCollectionRuleId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}"
     }
   }
   

   • Ersätt lämpliga värden för {subscriptionId} platshållarna och {resourceGroupName} .
   • Ange ett valfritt namn för DCR i stället {dataCollectionRuleName} för platshållaren.

4. Skicka begäran.

Exempel på avsnitt om anläggningar och loggnivåer

Granska de här exemplen på inställningar för anläggningar och loggnivåer. Fältet name innehåller filternamnet.

För CEF-meddelandeinmatning ska värdet för vara "Microsoft-CommonSecurityLog" i stället "Microsoft-Syslog"för "streams" .

Det här exemplet samlar in händelser från cronnivåerna , daemon, local0, local3 och med uucpWarningloggnivåerna , , CriticalError, Alertoch Emergency :

    "dataSources": {
      "syslog": [
        {
        "name": "SyslogStream0",
        "streams": [
          "Microsoft-Syslog"
        ],
        "facilityNames": [ 
          "cron",
          "daemon",
          "local0",
          "local3", 
          "uucp"
        ],
        "logLevels": [ 
          "Warning", 
          "Error", 
          "Critical", 
          "Alert", 
          "Emergency"
        ]
      }
    ]
  }

Syslog- och CEF-strömmar i samma DCR

Det här exemplet visar hur du kan samla in Syslog- och CEF-meddelanden i samma DCR.

DCR samlar in CEF-händelsemeddelanden för:

• Anläggningarna och med loggnivåerna , Notice, Warning, Error, AlertCriticaloch EmergencyInfomarkauthpriv
• Anläggningen daemon med Warningloggnivåerna , Error, Critical, Alertoch Emergency

Den samlar in Syslog-händelsemeddelanden för:

• Anläggningarna kern, local0, local5och news med Criticalloggnivåerna , Alertoch Emergency
• Anläggningarna mail och uucp med Emergency loggnivån

    "dataSources": {
      "syslog": [
        {
          "name": "CEFStream1",
          "streams": [ 
            "Microsoft-CommonSecurityLog"
          ],
          "facilityNames": [ 
            "authpriv", 
            "mark"
          ],
          "logLevels": [
            "Info",
            "Notice", 
            "Warning", 
            "Error", 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "CEFStream2",
          "streams": [ 
            "Microsoft-CommonSecurityLog"
          ],
          "facilityNames": [ 
            "daemon"
          ],
          "logLevels": [ 
            "Warning", 
            "Error", 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "SyslogStream3",
          "streams": [ 
            "Microsoft-Syslog"
          ],
          "facilityNames": [ 
            "kern",
            "local0",
            "local5", 
            "news"
          ],
          "logLevels": [ 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "SyslogStream4",
          "streams": [ 
            "Microsoft-Syslog"
          ],
          "facilityNames": [ 
            "mail",
            "uucp"
          ],
          "logLevels": [ 
            "Emergency"
          ]
        }
      ]
    }

Kör installationsskriptet

Om du använder en loggvidare konfigurerar du Syslog-daemon så att den lyssnar efter meddelanden från andra datorer och öppnar nödvändiga lokala portar.

1. Från anslutningssidan kopierar du kommandoraden som visas under Kör följande kommando för att installera och tillämpa CEF-insamlaren:

   

   Eller kopiera det härifrån:

   sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python Forwarder_AMA_installer.py
   

2. Logga in på loggvidaredatorn där du precis har installerat AMA.

3. Klistra in kommandot som du kopierade i det sista steget för att starta installationsskriptet.
   Skriptet konfigurerar rsyslog eller syslog-ng daemon att använda det protokoll som krävs och startar om daemonen. Skriptet öppnar port 514 för att lyssna på inkommande meddelanden i både UDP- och TCP-protokoll. Om du vill ändra den här inställningen läser du konfigurationsfilen för Syslog-daemon enligt den daemontyp som körs på datorn:

   • Rsyslog: /etc/rsyslog.conf
   • Syslog-ng: /etc/syslog-ng/syslog-ng.conf

   Om du använder Python 3 och inte har angetts som standardkommando på datorn ersätter python3python du med det inklistrade kommandot. Se Krav för loggvidare.

   Kommentar

   För att undvika fulldiskscenarier där agenten inte kan fungera rekommenderar vi att du ställer in eller rsyslog konfigurationen syslog-ng för att inte lagra onödiga loggar. Ett fullständigt diskscenario stör funktionen för den installerade AMA:en. Mer information finns i RSyslog eller Syslog-ng.

Testa anslutningsprogrammet

Kontrollera att loggar från din Linux-dator eller säkerhetsenheter och -enheter matas in i Microsoft Sentinel.

1. Kör följande kommando för att verifiera att syslog-daemon körs på UDP-porten och att AMA lyssnar:

   netstat -lnptv
   

   Du bör se daemonen rsyslog eller syslog-ng lyssna på port 514.

2. Om du vill samla in meddelanden som skickas från en loggare eller en ansluten enhet kör du det här kommandot i bakgrunden:

   tcpdump -i any port 514 -A -vv &
   

3. När du har slutfört verifieringen rekommenderar vi att du stoppar tcpdump: Type fg och sedan väljer Ctrl+C.

4. Slutför följande steg för att skicka demomeddelanden:

   • Använd netcat-verktyget. I det här exemplet läser verktyget data som publicerats via echo kommandot med den nya växeln avstängd. Verktyget skriver sedan data till UDP-porten 514 på localhost utan tidsgräns. Om du vill köra netcat-verktyget kan du behöva installera ett annat paket.

     echo -n "<164>CEF:0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time" | nc -u -w0 localhost 514
     

   • Använd loggern. Det här exemplet skriver meddelandet till local 4 anläggningen, på allvarlighetsgrad Warning, till port 514, på den lokala värden, i CEF RFC-format. Flaggorna -t och --rfc3164 används för att följa det förväntade RFC-formatet.

     logger -p local4.warn -P 514 -n 127.0.0.1 --rfc3164 -t CEF "0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time"
     

5. Kontrollera att anslutningsappen är korrekt installerad genom att köra felsökningsskriptet med något av följande kommandon:

   • Kör för CEF-loggar:

      sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --cef
     

   • För Cisco Adaptive Security Appliance-loggar (ASA) kör du:

     sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --asa
     

   • För Cisco Firepower Threat Defense-loggar (FTD) kör du:

     sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --ftd
     

Relaterat innehåll

• Syslog och Common Event Format (CEF) via AMA-anslutningsappar för Microsoft Sentinel
• Regler för datainsamling i Azure Monitor