Mata in Syslog- och CEF-meddelanden till Microsoft Sentinel med Azure Monitor-agenten
Den här artikeln beskriver hur du använder Syslog via AMA och Common Event Format (CEF) via AMA-anslutningsappar för att snabbt filtrera och mata in Syslog-meddelanden, inklusive meddelanden i Common Event Format (CEF), från Linux-datorer och från nätverk och säkerhetsenheter och enheter. Mer information om dessa dataanslutningar finns i Syslog och Common Event Format (CEF) via AMA-anslutningsappar för Microsoft Sentinel.
Förutsättningar
Innan du börjar måste du ha resurserna konfigurerade och lämpliga behörigheter som beskrivs i det här avsnittet.
Krav för Microsoft Sentinel
Installera lämplig lösning för Microsoft Sentinel och se till att du har behörighet att slutföra stegen i den här artikeln.
Installera lämplig lösning – Syslog och/eller Common Event Format från innehållshubben i Microsoft Sentinel. Mer information finns i Identifiera och hantera innehåll i Microsoft Sentinel out-of-the-box.
Ditt Azure-konto måste ha följande roller för rollbaserad åtkomstkontroll i Azure (Azure RBAC):
Inbyggd roll Omfattning Anledning - Virtuell datordeltagare
- Azure Anslut ed Machine
Resursadministratör- Virtuella datorer (VM)
- Virtual Machine Scale Sets
- Azure Arc-aktiverade servrar
Distribuera agenten Alla roller som innehåller åtgärden
Microsoft.Resources/deployments/*- Prenumeration
- Resursgrupp
- Befintlig datainsamlingsregel
Så här distribuerar du Azure Resource Manager-mallar Övervakningsdeltagare - Prenumeration
- Resursgrupp
- Befintlig datainsamlingsregel
Så här skapar eller redigerar du regler för datainsamling
Krav för loggvidare
Om du samlar in meddelanden från en loggvidare gäller följande krav:
Du måste ha en utsedd virtuell Linux-dator som loggvidare för att kunna samla in loggar.
Om loggvidare inte är en virtuell Azure-dator måste azure Arc-Anslut d machine-agenten vara installerad på den.
Den virtuella Linux-loggvidaredatorn måste ha Python 2.7 eller 3 installerat.
python --version
Använd kommandot ellerpython3 --version
för att kontrollera. Om du använder Python 3 kontrollerar du att det är inställt som standardkommando på datorn eller kör skript med kommandot "python3" i stället för "python".Loggvidare måste ha antingen
syslog-ng
daemon aktiverat.rsyslog
Utrymmeskrav för din loggvidare finns i Prestandamått för Azure Monitor Agent. Du kan också granska det här blogginlägget, som innehåller design för skalbar inmatning.
Dina loggkällor, säkerhetsenheter och enheter måste konfigureras för att skicka sina loggmeddelanden till loggvidares Syslog-daemon i stället för till deras lokala Syslog-daemon.
Krav för datorsäkerhet
Konfigurera datorns säkerhet enligt organisationens säkerhetsprincip. Konfigurera till exempel nätverket så att det överensstämmer med företagets nätverkssäkerhetsprincip och ändra portarna och protokollen i daemonen så att de överensstämmer med dina krav. För att förbättra datorns säkerhetskonfiguration kan du skydda den virtuella datorn i Azure eller granska de här metodtipsen för nätverkssäkerhet.
Om dina enheter skickar Syslog- och CEF-loggar via TLS eftersom till exempel loggvidare finns i molnet måste du konfigurera Syslog-daemon (rsyslog
eller syslog-ng
) för att kommunicera i TLS. Mer information finns i:
Konfigurera datakopplingen
Konfigurationsprocessen för Syslog via AMA eller Common Event Format (CEF) via AMA-dataanslutningar innehåller följande steg:
- Installera Azure Monitor-agenten och skapa en datainsamlingsregel (DCR) med någon av följande metoder:
- Om du samlar in loggar från andra datorer med hjälp av en loggvidare kör du installationsskriptet på loggvidare för att konfigurera Syslog-daemon att lyssna efter meddelanden från andra datorer och öppna nödvändiga lokala portar.
Välj lämplig flik för instruktioner.
Skapa datainsamlingsregel
Kom igång genom att öppna dataanslutningsappen i Microsoft Sentinel och skapa en dataanslutningsregel.
För Microsoft Sentinel i Azure-portalen går du till Konfiguration och väljer Dataanslutningar.
För Microsoft Sentinel i Defender-portalen väljer du Anslutningsappar för Microsoft Sentinel-konfigurationsdata>>.För syslog skriver du Syslog i sökrutan. I resultatet väljer du Syslog via AMA-anslutningsappen .
För CEF skriver du CEF i sökrutan. I resultaten väljer du Common Event Format (CEF) via AMA-anslutningsappen .Välj Sidan Öppna anslutningsapp i informationsfönstret.
I området Konfiguration väljer du +Skapa datainsamlingsregel.
På fliken Grundläggande :
- Skriv ett DCR-namn.
- Välj din prenumeration.
- Välj den resursgrupp där du vill hitta domänkontrollanten.
Välj Nästa: Resurser >.
Definiera VM-resurser
På fliken Resurser väljer du de datorer där du vill installera AMA– i det här fallet din loggvidaredator. Om loggvidare inte visas i listan kanske inte Azure Anslut ed Machine-agenten är installerad.
Använd de tillgängliga filtren eller sökrutan för att hitta den virtuella datorn för loggvidare. Expandera en prenumeration i listan för att se dess resursgrupper och en resursgrupp för att se dess virtuella datorer.
Välj den virtuella loggvidaredator som du vill installera AMA på. Kryssrutan visas bredvid namnet på den virtuella datorn när du hovrar över den.
Granska ändringarna och välj Nästa: Samla in >.
Välj anläggningar och allvarlighetsgrad
Tänk på att användning av samma anläggning för både Syslog- och CEF-meddelanden kan leda till datainmatningsduplicering. Mer information finns i Undvikande av datainmatningsduplicering.
På fliken Samla in väljer du den lägsta loggnivån för varje anläggning. När du väljer en loggnivå samlar Microsoft Sentinel in loggar för den valda nivån och andra nivåer med högre allvarlighetsgrad. Om du till exempel väljer LOG_ERR samlar Microsoft Sentinel in loggar för nivåerna LOG_ERR, LOG_CRIT, LOG_ALERT och LOG_EMERG .
Granska dina val och välj Nästa: Granska + skapa.
Granska och skapa regeln
När du har slutfört alla flikar granskar du det du angav och skapar datainsamlingsregeln.
På fliken Granska och skapa väljer du Skapa.
Anslutningsappen installerar Azure Monitor-agenten på de datorer som du valde när du skapade din DCR.
Kontrollera meddelandena i Azure-portalen eller Microsoft Defender-portalen för att se när DCR skapas och agenten är installerad.
Välj Uppdatera på anslutningssidan för att se DCR som visas i listan.
Kör installationsskriptet
Om du använder en loggvidare konfigurerar du Syslog-daemon så att den lyssnar efter meddelanden från andra datorer och öppnar nödvändiga lokala portar.
Från anslutningssidan kopierar du kommandoraden som visas under Kör följande kommando för att installera och tillämpa CEF-insamlaren:
Eller kopiera det härifrån:
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python Forwarder_AMA_installer.py
Logga in på loggvidaredatorn där du precis har installerat AMA.
Klistra in kommandot som du kopierade i det sista steget för att starta installationsskriptet.
Skriptet konfigurerarrsyslog
ellersyslog-ng
daemon att använda det protokoll som krävs och startar om daemonen. Skriptet öppnar port 514 för att lyssna på inkommande meddelanden i både UDP- och TCP-protokoll. Om du vill ändra den här inställningen läser du konfigurationsfilen för Syslog-daemon enligt den daemontyp som körs på datorn:- Rsyslog:
/etc/rsyslog.conf
- Syslog-ng:
/etc/syslog-ng/syslog-ng.conf
Om du använder Python 3 och inte har angetts som standardkommando på datorn ersätter
python3
python
du med det inklistrade kommandot. Se Krav för loggvidare.Kommentar
För att undvika fulldiskscenarier där agenten inte kan fungera rekommenderar vi att du ställer in eller
rsyslog
konfigurationensyslog-ng
för att inte lagra onödiga loggar. Ett fullständigt diskscenario stör funktionen för den installerade AMA:en. Mer information finns i RSyslog eller Syslog-ng.- Rsyslog:
Testa anslutningsprogrammet
Kontrollera att loggar från din Linux-dator eller säkerhetsenheter och -enheter matas in i Microsoft Sentinel.
Kör följande kommando för att verifiera att syslog-daemon körs på UDP-porten och att AMA lyssnar:
netstat -lnptv
Du bör se daemonen
rsyslog
ellersyslog-ng
lyssna på port 514.Om du vill samla in meddelanden som skickas från en loggare eller en ansluten enhet kör du det här kommandot i bakgrunden:
tcpdump -i any port 514 -A -vv &
När du har slutfört verifieringen rekommenderar vi att du stoppar
tcpdump
: Typefg
och sedan väljer Ctrl+C.Slutför följande steg för att skicka demomeddelanden:
Använd netcat-verktyget. I det här exemplet läser verktyget data som publicerats via
echo
kommandot med den nya växeln avstängd. Verktyget skriver sedan data till UDP-porten514
på localhost utan tidsgräns. Om du vill köra netcat-verktyget kan du behöva installera ett annat paket.echo -n "<164>CEF:0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time" | nc -u -w0 localhost 514
Använd loggern. Det här exemplet skriver meddelandet till
local 4
anläggningen, på allvarlighetsgradWarning
, till port514
, på den lokala värden, i CEF RFC-format. Flaggorna-t
och--rfc3164
används för att följa det förväntade RFC-formatet.logger -p local4.warn -P 514 -n 127.0.0.1 --rfc3164 -t CEF "0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time"
Kontrollera att anslutningsappen är korrekt installerad genom att köra felsökningsskriptet med något av följande kommandon:
Kör för CEF-loggar:
sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --cef
För Cisco Adaptive Security Appliance-loggar (ASA) kör du:
sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --asa
För Cisco Firepower Threat Defense-loggar (FTD) kör du:
sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --ftd