Azure İzleyici Aracısı ile Syslog ve CEF iletilerini Microsoft Sentinel'e alma

Bu makalede Syslog'un Linux makinelerinden, ağ ve güvenlik cihazlarından ve gereçlerinden, Ortak Olay Biçimindeki (CEF) iletiler de dahil olmak üzere Syslog iletilerini hızla filtrelemek ve almak için AMA bağlayıcıları aracılığıyla AMA ve Ortak Olay Biçimi (CEF) aracılığıyla nasıl kullanılacağı açıklanmaktadır. Bu veri bağlayıcıları hakkında daha fazla bilgi edinmek için bkz . Microsoft Sentinel için AMA bağlayıcıları aracılığıyla Syslog ve Ortak Olay Biçimi (CEF).

Önkoşullar

Başlamadan önce, kaynakları yapılandırmış olmanız ve bu bölümde açıklanan uygun izinlere sahip olmanız gerekir.

Microsoft Sentinel önkoşulları

Microsoft Sentinel için uygun çözümü yükleyin ve bu makaledeki adımları tamamlama izinlerine sahip olduğunuzdan emin olun.

• Microsoft Sentinel'de İçerik hub'ından uygun çözümü (Syslog ve/veya Ortak Olay Biçimi) yükleyin. Daha fazla bilgi için bkz . Microsoft Sentinel'in kullanıma hazır içeriğini bulma ve yönetme.

• Azure hesabınızın aşağıdaki Azure rol tabanlı erişim denetimi (Azure RBAC) rollerine sahip olması gerekir:

  Yerleşik rol	Kapsam	Nedeni
  - Sanal Makine Katılımcısı - Azure Bağlan Ed Machine    Kaynak Yönetici istrator	Sanal makineler (VM) Sanal Makine Ölçek Kümeleri Azure Arc özellikli sunucular	Aracıyı dağıtmak için
  Eylemi içeren herhangi bir rol Microsoft.Resources/deployments/*	Abonelik Kaynak grubu Mevcut veri toplama kuralı	Azure Resource Manager şablonlarını dağıtmak için
  İzleme Katkıda Bulunanı	Abonelik Kaynak grubu Mevcut veri toplama kuralı	Veri toplama kuralları oluşturmak veya düzenlemek için

Günlük ileticisi önkoşulları

Günlük ileticisinden ileti topluyorsanız aşağıdaki önkoşullar geçerlidir:

• Günlükleri toplamak için günlük ileticisi olarak belirlenmiş bir Linux VM'niz olmalıdır.

  • Azure portalında bir Linux VM oluşturun.
  • Azure İzleyici Aracısı için desteklenen Linux işletim sistemleri.

• Günlük ileticiniz bir Azure sanal makinesi değilse üzerinde Azure Arc Bağlan ed Machine aracısının yüklü olması gerekir.

• Linux günlük ileticisi VM'sinde Python 2.7 veya 3 yüklü olmalıdır. python --version Denetlemek için veya python3 --version komutunu kullanın. Python 3 kullanıyorsanız makinede varsayılan komut olarak ayarlandığından emin olun veya 'python' yerine 'python3' komutuyla betikleri çalıştırın.

• Günlük ileticisinde syslog-ng veya rsyslog daemon etkinleştirilmelidir.

• Günlük ileticinizin alan gereksinimleri için bkz . Azure İzleyici Aracısı Performans Karşılaştırması. Ölçeklenebilir alım tasarımlarını içeren bu blog gönderisini de gözden geçirebilirsiniz.

• Günlük kaynaklarınız, güvenlik cihazlarınız ve gereçleriniz günlük iletilerini yerel Syslog daemon'larına göndermek yerine günlük ileticisinin Syslog daemon'larına gönderecek şekilde yapılandırılmalıdır.

Makine güvenliği önkoşulları

Makinenin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırın. Örneğin, ağınızı kurumsal ağ güvenlik ilkenizle uyumlu olacak şekilde yapılandırın ve daemon'daki bağlantı noktalarını ve protokolleri gereksinimlerinizle uyumlu olacak şekilde değiştirin. Makine güvenliği yapılandırmanızı geliştirmek için Azure'da VM'nizin güvenliğini sağlayın veya ağ güvenliği için bu en iyi yöntemleri gözden geçirin.

Örneğin günlük ileticiniz bulutta olduğu için cihazlarınız TLS üzerinden Syslog ve CEF günlükleri gönderiyorsa Syslog daemon'ını (rsyslog veya syslog-ng) TLS'de iletişim kuracak şekilde yapılandırmanız gerekir. Daha fazla bilgi için bkz.

• Syslog trafiğini TLS ile şifreleme – rsyslog
• Günlük iletilerini TLS ile şifreleme – syslog-ng

Veri bağlayıcıyı yapılandırma

Syslog için AMA aracılığıyla kurulum işlemi veya AMA veri bağlayıcıları aracılığıyla Ortak Olay Biçimi (CEF) aşağıdaki adımları içerir:

1. Azure İzleyici Aracısı'nı yükleyin ve aşağıdaki yöntemlerden birini kullanarak bir Veri Toplama Kuralı (DCR) oluşturun:
   • Azure veya Defender portalı
   • Azure İzleyici Günlükleri Alma API'si
2. Günlük ileticisi kullanarak diğer makinelerden günlük topluyorsanız Syslog daemon'ını diğer makinelerden gelen iletileri dinleyecek şekilde yapılandırmak ve gerekli yerel bağlantı noktalarını açmak için günlük ileticisinde "yükleme" betiğini çalıştırın.

Yönergeler için uygun sekmeyi seçin.

Azure veya Defender portalı

Veri toplama kuralı oluşturma

Başlamak için Microsoft Sentinel'de veri bağlayıcısını açın ve bir veri bağlayıcısı kuralı oluşturun.

1. Azure portalında Microsoft Sentinel için Yapılandırma'nın altında Veri bağlayıcıları'nı seçin.
   Defender portalında Microsoft Sentinel için Microsoft Sentinel>Yapılandırma>Verileri bağlayıcıları'nı seçin.

2. syslog için, Arama kutusuna Syslog yazın. Sonuçlardan Ama aracılığıyla Syslog bağlayıcısını seçin.
   CEF için Arama kutusuna CEF yazın. Sonuçlardan AMA bağlayıcısı aracılığıyla Ortak Olay Biçimi 'ni (CEF) seçin.

3. Ayrıntılar bölmesinde Bağlayıcı sayfasını aç'ı seçin.

4. Yapılandırma alanında +Veri toplama kuralı oluştur'u seçin.

   

   

5. Temel sekmesinde:

   • Bir DCR adı yazın.
   • Aboneliğinizi seçin.
   • DCR'nizi bulmak istediğiniz kaynak grubunu seçin.

   

6. İleri: Kaynaklar'ı >seçin.

VM kaynaklarını tanımlama

Kaynaklar sekmesinde, AMA'yı yüklemek istediğiniz makineleri (bu örnekte günlük ileticisi makinenizi) seçin. Günlük ileticiniz listede görünmüyorsa Azure Bağlan ed Machine aracısı yüklü olmayabilir.

1. Günlük ileticisi VM'nizi bulmak için kullanılabilir filtreleri veya arama kutusunu kullanın. Kaynak gruplarını görmek için listedeki bir aboneliği ve vm'lerini görmek için bir kaynak grubunu genişletin.

2. AMA'yi yüklemek istediğiniz günlük ileticisi VM'sini seçin. Üzerine geldiğinizde VM adının yanında onay kutusu görüntülenir.

   

3. Değişikliklerinizi gözden geçirin ve İleri: Topla'ya >tıklayın.

Tesisleri ve önem derecelerini seçin

Syslog ve CEF iletileri için aynı özelliğin kullanılmasının veri alımı yinelemesine neden olabileceğini unutmayın. Daha fazla bilgi için bkz . Veri alımı yinelemesi önleme.

1. Topla sekmesinde her tesis için en düşük günlük düzeyini seçin. Bir günlük düzeyi seçtiğinizde, Microsoft Sentinel seçilen düzey ve daha yüksek önem derecesine sahip diğer düzeyler için günlükleri toplar. Örneğin, LOG_ERR seçerseniz Microsoft Sentinel LOG_ERR, LOG_CRIT, LOG_ALERT ve LOG_EMERG düzeyleri için günlükleri toplar.

   

2. Seçimlerinizi gözden geçirin ve İleri: Gözden geçir + oluştur'u seçin.

Kuralı gözden geçirme ve oluşturma

Tüm sekmeleri tamamladıktan sonra, girdiğiniz bilgileri gözden geçirin ve veri toplama kuralını oluşturun.

1. Gözden geçir ve oluştur sekmesinde Oluştur'u seçin.

   

   Bağlayıcı, DCR'nizi oluştururken seçtiğiniz makinelere Azure İzleyici Aracısı'nı yükler.

2. DCR'nin ne zaman oluşturulduğunu ve aracının ne zaman yüklendiğini görmek için Azure portalında veya Microsoft Defender portalında bildirimleri denetleyin.

3. Listede görüntülenen DCR'yi görmek için bağlayıcı sayfasında Yenile'yi seçin.

Günlük Alımı API'si

Azure İzleyici Aracısını Yükleme

Azure İzleyici belgelerinden uygun yönergeleri izleyerek Azure İzleyici Aracısını günlük ileticinize yükleyin. Windows için değil Linux yönergelerini kullanmayı unutmayın.

• PowerShell kullanarak AMA yükleme
• Azure CLI kullanarak AMA yükleme
• Azure Resource Manager şablonu kullanarak AMA yükleme

Azure İzleyici Günlükleri Alma API'sini kullanarak Veri Toplama Kuralları (DCR) oluşturabilirsiniz. Daha fazla bilgi için bkz . Azure İzleyici'de veri toplama kuralları.

Veri toplama kuralını oluşturma

Veri toplama kuralı için bir JSON dosyası oluşturun, bir API isteği oluşturun ve isteği gönderin.

1. JSON biçiminde bir DCR dosyası hazırlayın. Bu dosyanın içeriği API isteğinizdeki istek gövdesidir.

   Örnek için bkz . Syslog/CEF DCR oluşturma isteği gövdesi. Syslog ve CEF iletilerini aynı veri toplama kuralında toplamak için, aynı DCR'deki örnek Syslog ve CEF akışlarına bakın.

   • streams Alanın Syslog iletileri için veya Microsoft-CommonSecurityLog CEF iletileri için olarak ayarlandığını Microsoft-Syslog doğrulayın.
   • ve logLevels parametrelerine filtre ve tesis günlüğü düzeylerini facilityNames ekleyin. Bkz . Tesis örnekleri ve günlük düzeyleri bölümleri.

2. Seçtiğiniz bir REST API istemcisinde API isteği oluşturun.

   1. İstek URL'si ve üst bilgisi için aşağıdaki istek URL'sini ve üst bilgisini kopyalayın.

      PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2022-06-01
      

      • ve {resourceGroupName} yer tutucuları için {subscriptionId} uygun değerleri değiştirin.
      • Yer tutucu yerine DCR {dataCollectionRuleName} için seçtiğiniz bir ad girin.

   2. İstek gövdesi için, oluşturduğunuz (yukarıdaki 1. adımda) DCR JSON dosyasının içeriğini kopyalayıp istek gövdesine yapıştırın.

3. İsteği gönderin.

   Almanız gereken yanıt örneği için bkz . Syslog/CEF DCR oluşturma yanıtı.

DCR'yi günlük ileticisi ile ilişkilendirme

Şimdi DCR'yi günlük ileticinizi barındıran VM kaynağına bağlayan bir DCR İlişkilendirmesi (DCRA) oluşturmanız gerekir.

1. Seçtiğiniz bir REST API istemcisinde API isteği oluşturun.

2. İstek URL'si ve üst bilgisi için aşağıdaki istek URL'sini ve üst bilgiyi kopyalayın.

   PUT 
   https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{virtualMachineName}/providers/Microsoft.Insights/dataCollectionRuleAssociations/{dataCollectionRuleAssociationName}?api-version=2022-06-01
   

   • , {resourceGroupName}ve {virtualMachineName} yer tutucuları için {subscriptionId}uygun değerleri değiştirin.
   • Yer tutucu yerine DCR {dataCollectionRuleAssociationName} için seçtiğiniz bir ad girin.

3. İstek gövdesi için aşağıdaki istek gövdesini kopyalayın.

   {
     "properties": {
       "dataCollectionRuleId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}"
     }
   }
   

   • ve {resourceGroupName} yer tutucuları için {subscriptionId} uygun değerleri değiştirin.
   • Yer tutucu yerine DCR {dataCollectionRuleName} için seçtiğiniz bir ad girin.

4. İsteği gönderin.

Tesisler ve günlük düzeyleri bölümlerine örnekler

Tesis ve günlük düzeyleri ayarlarının bu örneklerini gözden geçirin. Alanı name filtre adını içerir.

CEF ileti alımı için "streams" değeri yerine "Microsoft-Syslog"olmalıdır"Microsoft-CommonSecurityLog".

Bu örnek , , , local0ve tesislerinden cron, ve uucpEmergency günlük düzeyleriyle WarningAlertErrorCriticalolayları toplar: local3daemon

    "dataSources": {
      "syslog": [
        {
        "name": "SyslogStream0",
        "streams": [
          "Microsoft-Syslog"
        ],
        "facilityNames": [ 
          "cron",
          "daemon",
          "local0",
          "local3", 
          "uucp"
        ],
        "logLevels": [ 
          "Warning", 
          "Error", 
          "Critical", 
          "Alert", 
          "Emergency"
        ]
      }
    ]
  }

Aynı DCR'de Syslog ve CEF akışları

Bu örnekte Syslog ve CEF iletilerini aynı DCR'de nasıl toplayabileceğiniz gösterilmektedir.

DCR aşağıdakiler için CEF olay iletilerini toplar:

• , , , , WarningError, Critical, Alertve günlük düzeylerine sahip Infove Emergency tesisleri Noticemarkauthpriv
• daemon, , Error, CriticalAlertve Emergency günlük düzeylerine sahip Warningtesis

Aşağıdakiler için Syslog olay iletilerini toplar:

• kern, local0, local5ve news günlük düzeylerine sahip Critical, , Alertve Emergency tesisleri
• mail Günlük düzeyine Emergency sahip ve uucp tesisleri

    "dataSources": {
      "syslog": [
        {
          "name": "CEFStream1",
          "streams": [ 
            "Microsoft-CommonSecurityLog"
          ],
          "facilityNames": [ 
            "authpriv", 
            "mark"
          ],
          "logLevels": [
            "Info",
            "Notice", 
            "Warning", 
            "Error", 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "CEFStream2",
          "streams": [ 
            "Microsoft-CommonSecurityLog"
          ],
          "facilityNames": [ 
            "daemon"
          ],
          "logLevels": [ 
            "Warning", 
            "Error", 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "SyslogStream3",
          "streams": [ 
            "Microsoft-Syslog"
          ],
          "facilityNames": [ 
            "kern",
            "local0",
            "local5", 
            "news"
          ],
          "logLevels": [ 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "SyslogStream4",
          "streams": [ 
            "Microsoft-Syslog"
          ],
          "facilityNames": [ 
            "mail",
            "uucp"
          ],
          "logLevels": [ 
            "Emergency"
          ]
        }
      ]
    }

"Yükleme" betiğini çalıştırma

Günlük ileticisi kullanıyorsanız Syslog daemon'ını diğer makinelerden gelen iletileri dinleyecek şekilde yapılandırın ve gerekli yerel bağlantı noktalarını açın.

1. BAĞLAYıCı sayfasında, CEF toplayıcısını yüklemek ve uygulamak için Aşağıdaki komutu çalıştırın altında görüntülenen komut satırını kopyalayın:

   

   Veya buradan kopyalayın:

   sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python Forwarder_AMA_installer.py
   

2. AMA'yi yüklediğiniz günlük ileticisi makinesinde oturum açın.

3. Yükleme betiğini başlatmak için son adımda kopyaladığınız komutu yapıştırın.
   Betik, veya syslog-ng daemon'unu gerekli protokolü kullanacak şekilde yapılandırıp rsyslog daemon'ı yeniden başlatır. Betik, hem UDP hem de TCP protokollerinde gelen iletileri dinlemek için 514 numaralı bağlantı noktasını açar. Bu ayarı değiştirmek için, makinede çalışan daemon türüne göre Syslog daemon yapılandırma dosyasına bakın:

   • Rsyslog: /etc/rsyslog.conf
   • Syslog-ng: /etc/syslog-ng/syslog-ng.conf

   Not

   Aracının çalışmadığı Tam Disk senaryolarından kaçınmak için veya rsyslog yapılandırmasını gereksiz günlükleri depolamak üzere ayarlamanızı syslog-ng öneririz. Tam Disk senaryosu, yüklü AMA işlevini kesintiye uğratır. Daha fazla bilgi için bkz . RSyslog veya Syslog-ng.

Bağlayıcıyı test etme

Linux makinenizden veya güvenlik cihazlarınızdan ve gereçlerinden gelen günlük iletilerinin Microsoft Sentinel'e alındığını doğrulayın.

1. Syslog daemon'unun UDP bağlantı noktasında çalıştığını ve AMA'nın dinlediğini doğrulamak için şu komutu çalıştırın:

   netstat -lnptv
   

   514 numaralı bağlantı noktasında veya syslog-ng daemon'un dinlediğini görmeniz rsyslog gerekir.

2. Günlükçüden veya bağlı bir cihazdan gönderilen iletileri yakalamak için arka planda şu komutu çalıştırın:

   tcpdump -i any port 514 -A -vv &
   

3. Doğrulamayı tamamladıktan sonra şunu durdurmanızı tcpdumpöneririz: Yazın fg ve ardından Ctrl C'yi+ seçin.

4. Tanıtım iletileri göndermek için aşağıdaki adımları tamamlayın:

   • netcat yardımcı programını kullanın. Bu örnekte yardımcı program, komut aracılığıyla echo gönderilen verileri yeni satır anahtarı kapalı olarak okur. Yardımcı program daha sonra verileri zaman aşımı olmadan localhost üzerindeki UDP bağlantı noktasına 514 yazar. netcat yardımcı programını yürütmek için başka bir paket yüklemeniz gerekebilir.

     echo -n "<164>CEF:0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time" | nc -u -w0 localhost 514
     

   • Günlükçü'leri kullanın. Bu örnek, iletiyi local 4 yerel konakta, CEF RFC biçimindeki bağlantı noktasına 514önem düzeyinde Warningtesise yazar. -t ve --rfc3164 bayrakları beklenen RFC biçimine uymak için kullanılır.

     logger -p local4.warn -P 514 -n 127.0.0.1 --rfc3164 -t CEF "0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time"
     

5. Bağlayıcının doğru yüklendiğini doğrulamak için aşağıdaki komutlardan biriyle sorun giderme betiğini çalıştırın:

   • CEF günlükleri için şunu çalıştırın:

      sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --cef
     

   • Cisco Adaptive Security Appliance (ASA) günlükleri için şunu çalıştırın:

     sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --asa
     

   • Cisco Firepower Threat Defense (FTD) günlükleri için şunu çalıştırın:

     sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --ftd
     

İlgili içerik

• Microsoft Sentinel için AMA bağlayıcıları aracılığıyla Syslog ve Ortak Olay Biçimi (CEF)
• Azure İzleyici'de veri toplama kuralları