Syslog ve CEF günlüklerini Microsoft Sentinel'e almak için günlük ileticisi dağıtma

  • Makale

Dikkat

Bu makalede, Kullanım Süresi Sonu (EOL) durumuna yakın bir Linux dağıtımı olan CentOS'a başvuruda bulunur. Lütfen kullanımınızı ve buna uygun planlamayı göz önünde bulundurun. Daha fazla bilgi için bkz . CentOS Kullanım Süresi Sonu kılavuzu.

Syslog ve CEF günlüklerini Microsoft Sentinel'e almak için, özellikle Log Analytics aracısını doğrudan yükleyemiyorsanız, günlükleri cihazlarınızdan toplayacak ve Microsoft Sentinel çalışma alanınıza iletecek bir Linux makinesi atamanız ve yapılandırmanız gerekir. Bu makine, şirket içi ortamınızdaki bir fiziksel veya sanal makine, Azure VM veya başka bir buluttaki bir VM olabilir.

Bu makinenin bu işlemde yer alan iki bileşeni vardır:

  • Günlükleri toplayan rsyslog veya syslog-ng adlı bir syslog daemon.
  • Günlükleri Microsoft Sentinel'e ileden Log Analytics Aracısı (OMS Aracısı olarak da bilinir).

Aşağıda sağlanan bağlantıyı kullanarak, belirtilen makinede aşağıdaki görevleri gerçekleştiren bir betik çalıştıracaksınız:

  • Linux için Log Analytics aracısını (OMS aracısı olarak da bilinir) yükler ve aşağıdaki amaçlarla yapılandırılır:

    • 25226 numaralı TCP bağlantı noktasında yerleşik Linux Syslog daemon'dan CEF iletilerini dinleme
    • iletileri AYRıştırılıp zenginleştirildiği Microsoft Sentinel çalışma alanınıza TLS üzerinden güvenli bir şekilde gönderme

  • Yerleşik Linux Syslog daemon'unu (rsyslog.d/syslog-ng) aşağıdaki amaçlarla yapılandırılır:

    • 514 numaralı TCP bağlantı noktasında güvenlik çözümlerinizden Syslog iletilerini dinleme
    • 25226 NUMARALı TCP bağlantı noktasını kullanarak yalnızca CEF olarak tanımlamış olduğu iletileri localhost üzerindeki Log Analytics aracısına iletme

Önemli

Log Analytics aracısı 31 Ağustos 2024'te kullanımdan kaldırılacaktır. Microsoft Sentinel dağıtımınızda Log Analytics aracısını kullanıyorsanız AMA'ya geçişinizi planlamaya başlamanızı öneririz. Daha fazla bilgi için bkz . Microsoft Sentinel için AMA geçişi.

Azure İzleyici Aracısı ile Syslog ve/veya CEF günlüklerini dağıtma hakkında bilgi için CEF ve Syslog biçimindeki günlükleri Microsoft Sentinel'e akışla aktarma seçeneklerini gözden geçirin.

Önkoşullar

Her veri bağlayıcısının kendi önkoşulları vardır. Önkoşullar Azure çalışma alanınız, aboneliğiniz veya ilkeniz üzerinde belirli izinlere sahip olmanız gerektiğini içerebilir. Ya da, bağlandığınız iş ortağı veri kaynağı için diğer gereksinimleri karşılamanız gerekir.

Her veri bağlayıcısı için önkoşullar, Microsoft Sentinel'deki ilgili veri bağlayıcısı sayfasında listelenir.

Microsoft Sentinel'de İçerik Merkezi'nden ürün çözümünü yükleyin. Ürün listede yoksa Ortak Olay Biçimi çözümünü yükleyin. Daha fazla bilgi için bkz . Microsoft Sentinel'in kullanıma hazır içeriğini bulma ve yönetme.

Önemli

İşletim sistemi sürümlerinin farklı destek tarihleri ve yaşam döngüleri olabilir. En doğru ve güncel destek ve kullanım süresi sonu tarihleri için her dağıtımın resmi belgelerine bakmanızı öneririz.

Makineniz aşağıdaki gereksinimleri karşılamalıdır:

  • Donanım (fiziksel/sanal)

    • Linux makinenizde en az 4 CPU çekirdeği ve 8 GB RAM olmalıdır.

      Not

      • Yukarıdaki donanım yapılandırmasına sahip ve rsyslog daemon kullanan tek bir günlük ileticisi makinesi, toplanan saniyede 8500 olay (EPS) kadar desteklenen kapasiteye sahiptir.

  • İşletim sistemi

    • İkincil sürümler de dahil olmak üzere CentOS 7 ve 8 (6 değil) (64 bit/32 bit)
    • Amazon Linux 2 (yalnızca 64 bit)
    • Oracle Linux 7, 8 (64 bit/32 bit)
    • Red Hat Enterprise Linux (RHEL) Server 7 ve 8 (6 değil), ikincil sürümler (64 bit/32 bit) dahil
    • Debian GNU/Linux 8 ve 9 (64 bit/32 bit)
    • Ubuntu Linux 20.04 LTS (yalnızca 64 bit)
    • SUSE Linux Enterprise Server 12, 15 (yalnızca 64 bit)

  • Daemon sürümleri

    • Rsyslog: v8
    • Syslog-ng: 2.1 - 3.22.1

  • Paket

    • Linux makinesinde Python 2.7 veya 3 yüklü olmalıdır.
      python --version Denetlemek için veya python3 --version komutunu kullanın.
    • GNU Wget paketine sahip olmanız gerekir.

  • Syslog RFC desteği

    • Syslog RFC 3164
    • Syslog RFC 5424

  • Yapılandırma

    • Belirlenen Linux makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir.
    • Log Analytics aracısını yüklemeden önce Linux makinesinin hiçbir Azure çalışma alanına bağlı olmaması gerekir.

  • Veri

    • Bu işlemin bir noktasında Microsoft Sentinel çalışma alanınızın Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı gerekebilir. Bunları çalışma alanı ayarlarında, Aracı yönetimi'nin altında bulabilirsiniz.

Güvenlik konuları

Makinenin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırdığından emin olun. Örneğin, ağınızı kurumsal ağ güvenlik ilkenizle uyumlu olacak şekilde yapılandırabilir ve daemon'daki bağlantı noktalarını ve protokolleri gereksinimlerinizle uyumlu olacak şekilde değiştirebilirsiniz. Makine güvenliği yapılandırmanızı geliştirmek için aşağıdaki yönergeleri kullanabilirsiniz: Azure'da güvenli VM, Ağ güvenliği için en iyi yöntemler.

Cihazlarınız TLS üzerinden Syslog ve CEF günlükleri gönderiyorsa (örneğin, günlük ileticiniz bulutta olduğundan), Syslog daemon'ını (rsyslog veya syslog-ng) TLS'de iletişim kuracak şekilde yapılandırmanız gerekir. Ayrıntılar için aşağıdaki belgelere bakın:

Dağıtım betiğini çalıştırma

  1. Microsoft Sentinel'de Veri bağlayıcıları'nı seçin.

  2. Bağlayıcılar galerisinden ürününüz için bağlayıcıyı seçin. Ürününüz listede yoksa Ortak Olay Biçimi (CEF) seçeneğini belirleyin.

  3. Bağlayıcının ayrıntılar bölmesinde Bağlayıcı sayfasını aç'ı seçin.

  4. Bağlayıcı sayfasındaki 1.2 Linux makinesine CEF toplayıcısını yükleme başlığı altındaki yönergelerde, CEF toplayıcısını yüklemek ve uygulamak için aşağıdaki betiği çalıştır altında sağlanan bağlantıyı kopyalayın.
    Bu sayfaya erişiminiz yoksa, aşağıdaki metinden bağlantıyı kopyalayın (yer tutucuların yerine yukarıdan Çalışma Alanı Kimliğini ve Birincil Anahtarı kopyalayıp yapıştırın):

    sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [WorkspaceID] [Workspace Primary Key]

  5. Bağlantıyı veya metni günlük ileticinizdeki komut satırına yapıştırın ve çalıştırın.

  6. Betik çalışırken hata veya uyarı iletisi almadığınızdan emin olun.

  7. Cihazınızı CEF iletileri gönderecek şekilde yapılandırın.

    Not

    Hem düz Syslog hem de CEF iletilerini iletmek için aynı makineyi kullanma

    Syslog iletilerini ve CEF'yi iletmek için bu günlük iletici makinesini kullanmayı planlıyorsanız, olayların Syslog ve CommonSecurityLog tablolarına çoğaltılmasını önlemek için:

    1. İLETIciye CEF biçiminde günlük gönderen her kaynak makinede, CEF iletileri göndermek için kullanılan özellikleri kaldırmak için Syslog yapılandırma dosyasını düzenlemeniz gerekir. Bu şekilde, CEF'de gönderilen tesisler syslog'a da gönderilmez. Bunun nasıl yapılacağını gösteren ayrıntılı yönergeler için bkz . Linux aracıda Syslog'ı yapılandırma.

    2. Aracının Microsoft Sentinel'deki Syslog yapılandırmasıyla eşitlenmesini devre dışı bırakmak için bu makinelerde aşağıdaki komutu çalıştırmanız gerekir. Bu, önceki adımda yaptığınız yapılandırma değişikliğinin üzerine yazılmamasını sağlar.
      sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'

Dağıtım betiği açıklandı

Aşağıda, dağıtım betiğinin eylemlerinin komutla açıklaması yer alır.

Uygun açıklamayı görmek için bir syslog daemon seçin.

  1. Log Analytics aracısını indirme ve yükleme:

    • Log Analytics (OMS) Linux aracısı için yükleme betiğini indirir.

      wget -O onboard_agent.sh https://raw.githubusercontent.com/Microsoft/OMS-Agent-for-Linux/
    master/installer/scripts/onboard_agent.sh

    • Log Analytics aracısını yükler.

      sh onboard_agent.sh -w [workspaceID] -s [Primary Key] -d opinsights.azure.com

  2. Log Analytics aracısı yapılandırmasını 25226 numaralı bağlantı noktasını dinleyecek ve CEF iletilerini Microsoft Sentinel'e iletecek şekilde ayarlama:

    • Log Analytics aracısı GitHub deposundan yapılandırmayı indirir.

      wget -O /etc/opt/microsoft/omsagent/[workspaceID]/conf/omsagent.d/security_events.conf
    https://raw.githubusercontent.com/microsoft/OMS-Agent-for-Linux/master/installer/conf/
    omsagent.d/security_events.conf

  3. Syslog daemon'ını yapılandırma:

    • syslog yapılandırma dosyasını /etc/rsyslog.confkullanarak TCP iletişimi için 514 numaralı bağlantı noktasını açar.

    • Syslog daemon dizinine /etc/rsyslog.d/özel bir yapılandırma dosyası security-config-omsagent.conf ekleyerek daemon'ı CEF iletilerini TCP bağlantı noktası 25226'da Log Analytics aracısına iletecek şekilde yapılandırıyor.

      security-config-omsagent.conf Dosyanın içeriği:

      if $rawmsg contains "CEF:" or $rawmsg contains "ASA-" then @@127.0.0.1:25226

  4. Syslog daemon ve Log Analytics aracısını yeniden başlatma:

    • rsyslog daemon'ını yeniden başlatır.

      service rsyslog restart

    • Log Analytics aracısını yeniden başlatır.

      /opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  5. Bilgisayar alanının beklendiği gibi eşlenmesi doğrulanma:

    • Aşağıdaki komutu kullanarak syslog kaynağındaki Bilgisayar alanının Log Analytics aracısında düzgün eşlendiğinden emin olur:

      grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb

    • Eşlemeyle ilgili bir sorun varsa, betik sizi aşağıdaki komutu el ile çalıştırmaya yönlendiren bir hata iletisi oluşturur (yer tutucu yerine Çalışma Alanı Kimliğini uygular). Komutu doğru eşlemeyi sağlar ve aracıyı yeniden başlatır.

      sudo sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]

Sonraki adımlar

Bu belgede, CEF gereçlerini Microsoft Sentinel'e bağlamak için Log Analytics aracısını dağıtmayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın: