Syslog و Common Event Format (CEF) عبر موصلات AMA ل Microsoft Sentinel

يقوم Syslog عبر AMA و Common Event Format (CEF) عبر موصلات بيانات AMA لعامل تصفية Microsoft Sentinel واستيعاب رسائل Syslog، بما في ذلك الرسائل بتنسيق الحدث المشترك (CEF)، ومن أجهزة Linux ومن أجهزة وأجهزة وأجهزة الشبكة والأمان. تقوم هذه الموصلات بتثبيت عامل Azure Monitor (AMA) على أي جهاز Linux تريد جمع رسائل Syslog و/أو CEF منه. قد يكون هذا الجهاز هو منشئ الرسائل، أو قد يكون معاد توجيه يجمع الرسائل من أجهزة أخرى، مثل أجهزة وأجهزة الشبكة أو الأمان والأجهزة. يرسل الموصل إرشادات العوامل استنادا إلى قواعد تجميع البيانات (DCRs) التي تحددها. تحدد DCRs الأنظمة التي يجب مراقبتها وأنواع السجلات أو الرسائل التي يجب تجميعها. وهي تحدد عوامل التصفية لتطبيقها على الرسائل قبل استيعابها، للحصول على أداء أفضل واستعلام وتحليل أكثر كفاءة.

Syslog وCEF هما تنسيقان شائعان لتسجيل البيانات من أجهزة وتطبيقات مختلفة. وهي تساعد مسؤولي النظام ومحللي الأمان على مراقبة الشبكة واستكشاف الأخطاء وإصلاحها وتحديد التهديدات أو الحوادث المحتملة.

ما هو Syslog؟

Syslog هو بروتوكول قياسي لإرسال الرسائل وتلقيها بين أجهزة أو تطبيقات مختلفة عبر شبكة. تم تطويره في الأصل لأنظمة Unix، ولكنه الآن مدعوم على نطاق واسع من قبل مختلف الأنظمة الأساسية والبائعين. تحتوي رسائل Syslog على بنية معرفة مسبقا تتكون من أولوية وطوابع زمنية واسم مضيف واسم تطبيق ومعرف عملية ونص رسالة. يمكن إرسال رسائل Syslog عبر UDP أو TCP أو TLS، اعتمادا على التكوين ومتطلبات الأمان.

يدعم عامل Azure Monitor Syslog RFCs 3164 و5424.

ما هو Common Event Format (CEF)؟

CEF أو Common Event Format هو تنسيق محايد للمورد لتسجيل البيانات من أجهزة وأجهزة الشبكة والأمان، مثل جدران الحماية وأجهزة التوجيه وحلول الكشف والاستجابة وأنظمة الكشف عن الاختراق، وكذلك من أنواع أخرى من الأنظمة مثل خوادم الويب. امتدادا ل Syslog، تم تطويره خصيصا لحلول إدارة معلومات الأمان والأحداث (SIEM). تحتوي رسائل CEF على عنوان قياسي يحتوي على معلومات مثل مورد الجهاز، ومنتج الجهاز، وإصدار الجهاز، وفئة الحدث، وخطورة الحدث، ومعرف الحدث. تحتوي رسائل CEF أيضا على عدد متغير من الملحقات التي توفر المزيد من التفاصيل حول الحدث، مثل عناوين IP المصدر والوجهة أو اسم المستخدم أو اسم الملف أو الإجراء المتخذ.

مجموعة من رسائل Syslog وCEF مع AMA

توضح الرسومات التخطيطية التالية بنية مجموعة رسائل Syslog وCEF في Microsoft Sentinel، باستخدام Syslog عبر AMA وتنسيق الحدث المشترك (CEF) عبر موصلات AMA .

جهاز واحد (syslog)

يوضح هذا الرسم التخطيطي رسائل Syslog التي يتم جمعها من جهاز ظاهري Linux فردي واحد، يتم تثبيت عامل Azure Monitor (AMA) عليه.

تستخدم عملية استيعاب البيانات باستخدام عامل Azure Monitor المكونات التالية وتدفقات البيانات:

• مصادر السجل هي أجهزة Linux الظاهرية المختلفة في بيئتك التي تنتج رسائل Syslog. يتم تجميع هذه الرسائل بواسطة برنامج Syslog الخفي المحلي على منفذ TCP أو UDP 514 (أو منفذ آخر وفقا لتفضيلاتك).

• يجمع البرنامج الخفي Syslog المحلي (إما rsyslog أو syslog-ng) رسائل السجل على منفذ TCP أو UDP 514 (أو منفذ آخر وفقا لتفضيلاتك). ثم يرسل البرنامج الخفي هذه السجلات إلى عامل Azure Monitor بطريقتين مختلفتين، اعتمادا على إصدار AMA:

  • تتلقى إصدارات AMA 1.28.11 والإصدارات الأحدث سجلات على منفذ TCP 28330.
  • تتلقى الإصدارات السابقة من AMA سجلات عبر مأخذ توصيل مجال Unix.

  إذا كنت تريد استخدام منفذ آخر غير 514 لتلقي رسائل Syslog/CEF، فتأكد من أن تكوين المنفذ على البرنامج الخفي Syslog يطابق تكوين التطبيق الذي يقوم بإنشاء الرسائل.

• عامل Azure Monitor الذي تقوم بتثبيته على كل جهاز ظاهري يعمل بنظام Linux تريد جمع رسائل Syslog منه، عن طريق إعداد موصل البيانات. يقوم العامل بتحليل السجلات ثم يرسلها إلى مساحة عمل Microsoft Sentinel (Log Analytics).

• مساحة عمل Microsoft Sentinel (Log Analytics): تنتهي رسائل Syslog المرسلة هنا في جدول Syslog، حيث يمكنك الاستعلام عن السجلات وإجراء تحليلات عليها للكشف عن تهديدات الأمان والاستجابة لها.

معاد توجيه السجل (syslog/CEF)

يظهر هذا الرسم التخطيطي رسائل Syslog وCEF التي يتم جمعها من جهاز إعادة توجيه سجل يستند إلى Linux تم تثبيت عامل Azure Monitor (AMA) عليه. يجمع معاد توجيه السجل هذا رسائل Syslog وCEF من أجهزتهم الأصلية أو أجهزتهم أو أجهزتهم.

تستخدم عملية استيعاب البيانات باستخدام عامل Azure Monitor المكونات التالية وتدفقات البيانات:

• مصادر السجل هي أجهزة الأمان والأجهزة المختلفة في بيئتك التي تنتج رسائل السجل بتنسيق CEF أو في Syslog عادي. يتم تكوين هذه الأجهزة لإرسال رسائل السجل الخاصة بها عبر منفذ TCP أو UDP 514 (أو منفذ آخر وفقا لتفضيلك)، وليس إلى برنامج Syslog الخفي المحلي، ولكن بدلا من ذلك إلى البرنامج الخفي Syslog على معيد توجيه السجل.

• معاد توجيه السجل هو جهاز ظاهري مخصص يعمل بنظام Linux تقوم مؤسستك بإعداده لجمع رسائل السجل من مصادر سجل Syslog وCEF. يمكن أن يكون الجهاز الظاهري محليا أو في Azure أو في سحابة أخرى. يحتوي معاد توجيه السجل نفسه على مكونين:

  • يجمع البرنامج الخفي Syslog (إما rsyslog أو syslog-ng) رسائل السجل على منفذ TCP أو UDP 514 (أو منفذ آخر وفقا لتفضيلاتك). ثم يرسل البرنامج الخفي هذه السجلات إلى عامل Azure Monitor بطريقتين مختلفتين، اعتمادا على إصدار AMA:

    • تتلقى إصدارات AMA 1.28.11 والإصدارات الأحدث سجلات على منفذ TCP 28330.
    • تتلقى الإصدارات السابقة من AMA سجلات عبر مأخذ توصيل مجال Unix.

    إذا كنت تريد استخدام منفذ آخر غير 514 لتلقي رسائل Syslog/CEF، فتأكد من أن تكوين المنفذ على البرنامج الخفي Syslog يطابق تكوين التطبيق الذي يقوم بإنشاء الرسائل.

  • عامل Azure Monitor الذي تقوم بتثبيته على معاد توجيه السجل عن طريق إعداد موصلات بيانات Syslog و/أو CEF. يقوم العامل بتحليل السجلات ثم يرسلها إلى مساحة عمل Microsoft Sentinel (Log Analytics).

• مساحة عمل Microsoft Sentinel (Log Analytics): تنتهي سجلات CEF المرسلة هنا في جدول CommonSecurityLog ورسائل Syslog في جدول Syslog. هناك يمكنك الاستعلام عن السجلات وإجراء تحليلات عليها للكشف عن التهديدات الأمنية والاستجابة لها.

عملية الإعداد لتجميع رسائل السجل

من مركز المحتوى في Microsoft Sentinel، قم بتثبيت الحل المناسب ل Syslog أو Common Event Format. تقوم هذه الخطوة بتثبيت موصلات البيانات المعنية Syslog عبر AMA أو Common Event Format (CEF) عبر موصل بيانات AMA. لمزيد من المعلومات، راجع اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته.

كجزء من عملية الإعداد، قم بإنشاء قاعدة تجميع بيانات وتثبيت عامل Azure Monitor (AMA) على معاد توجيه السجل. قم بهذه المهام إما باستخدام مدخل Azure أو Microsoft Defender أو باستخدام واجهة برمجة تطبيقات استيعاب سجلات Azure Monitor.

• عند تكوين موصل البيانات ل Microsoft Sentinel في مدخل Azure أو Microsoft Defender، يمكنك إنشاء DCRs وإدارتها وحذفها لكل مساحة عمل. يتم تثبيت AMA تلقائيا على الأجهزة الظاهرية التي تحددها في تكوين الموصل.

• بدلا من ذلك، أرسل طلبات HTTP إلى واجهة برمجة تطبيقات استيعاب السجلات. باستخدام هذا الإعداد، يمكنك إنشاء DCRs وإدارتها وحذفها. هذا الخيار أكثر مرونة من المدخل. على سبيل المثال، باستخدام واجهة برمجة التطبيقات، يمكنك التصفية حسب مستويات سجل معينة. في مدخل Microsoft Azure أو Defender، يمكنك فقط تحديد الحد الأدنى لمستوى السجل. الجانب السلبي لاستخدام هذا الأسلوب هو أنه يجب عليك تثبيت عامل Azure Monitor يدويا على معيد توجيه السجل قبل إنشاء DCR.

بعد إنشاء DCR، وتثبيت AMA، قم بتشغيل البرنامج النصي "التثبيت" على معاد توجيه السجل. يقوم هذا البرنامج النصي بتكوين البرنامج الخفي Syslog للاستماع إلى الرسائل من الأجهزة الأخرى، وفتح المنافذ المحلية الضرورية. ثم قم بتكوين أجهزة الأمان أو الأجهزة حسب الحاجة.

لمزيد من المعلومات، راجع المقالات التالية:

• استيعاب رسائل Syslog وCEF إلى Microsoft Sentinel باستخدام عامل Azure Monitor
• CEF عبر موصل بيانات AMA - تكوين جهاز أو جهاز معين لاستيعاب بيانات Microsoft Sentinel
• Syslog عبر موصل بيانات AMA - تكوين جهاز أو جهاز معين لاستيعاب بيانات Microsoft Sentinel

تجنب تكرار استيعاب البيانات

قد يؤدي استخدام نفس المرفق لكل من رسائل Syslog وCEF إلى تكرار استيعاب البيانات بين جداول CommonSecurityLog وSyslog.

لتجنب هذا السيناريو، استخدم إحدى هذه الطرق:

• إذا كان الجهاز المصدر يتيح تكوين المرفق الهدف: على كل جهاز مصدر يرسل سجلات إلى معاد توجيه السجل بتنسيق CEF، قم بتحرير ملف تكوين Syslog لإزالة المرافق المستخدمة لإرسال رسائل CEF. وبهذه الطريقة، لا يتم أيضا إرسال المرافق المرسلة في CEF في Syslog. تأكد من أن كل DCR تقوم بتكوينه يستخدم المرفق ذي الصلة ل CEF أو Syslog على التوالي.

  للاطلاع على مثال حول كيفية ترتيب DCR لاستيعاب كل من رسائل Syslog وCEF من نفس العامل، انتقل إلى تدفقات Syslog وCEF في نفس DCR.

• إذا لم يكن تغيير مرفق الجهاز المصدر قابلا للتطبيق: بعد إنشاء DCR، أضف تحويل وقت الاستيعاب لتصفية رسائل CEF من دفق Syslog لتجنب التكرار. راجع البرنامج التعليمي: تحرير قاعدة تجميع البيانات (DCR). أضف تحويل KQL مشابها للمثال التالي:

  "transformKql": "  source\n    |  where ProcessName !contains \"CEF\"\n"
  

الخطوات التالية

إعداد موصلات البيانات