استيعاب رسائل Syslog وCEF إلى Microsoft Sentinel باستخدام عامل Azure Monitor

توضح هذه المقالة كيفية استخدام Syslog عبر AMA وتنسيق الحدث المشترك (CEF) عبر موصلات AMA لتصفية رسائل Syslog واستيعابها بسرعة، بما في ذلك الرسائل بتنسيق الحدث الشائع (CEF)، ومن أجهزة Linux ومن أجهزة وأجهزة وأجهزة الشبكة والأمان. لمعرفة المزيد حول موصلات البيانات هذه، راجع Syslog و Common Event Format (CEF) عبر موصلات AMA ل Microsoft Sentinel.

المتطلبات الأساسية

قبل البدء، يجب أن يكون لديك الموارد المكونة والأذونات المناسبة الموضحة في هذا القسم.

متطلبات Microsoft Sentinel

بالنسبة إلى Microsoft Sentinel، قم بتثبيت الحل المناسب وتأكد من أن لديك الأذونات لإكمال الخطوات الواردة في هذه المقالة.

• قم بتثبيت الحل المناسب — Syslog و/أو Common Event Format من مركز المحتوى في Microsoft Sentinel. لمزيد من المعلومات، راجع اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته.

• يجب أن يكون لحساب Azure الخاص بك أدوار التحكم في الوصول المستندة إلى الدور (Azure RBAC) التالية:

  الدور مدمج	النطاق	السبب
  - مساهم الجهاز الظاهري - Azure الاتصال ed Machine    موفر مسؤول الموارد	الأجهزة الظاهرية (VM) مجموعات توسيع الجهاز الظاهري الخوادم الممكنة بواسطة Azure Arc	لتوزيع العامل
  أي دور يتضمن الإجراء Microsoft.Resources/deployments/*	الاشتراك مجموعة الموارد قاعدة تجميع البيانات الموجودة	لنشر قوالب Azure Resource Manager
  المساهم في المراقبة	الاشتراك مجموعة الموارد قاعدة تجميع البيانات الموجودة	لإنشاء أو تحرير قواعد جمع البيانات

متطلبات معاد توجيه السجل

إذا كنت تجمع رسائل من معاد توجيه السجل، يتم تطبيق المتطلبات الأساسية التالية:

• يجب أن يكون لديك جهاز Linux ظاهري معين كمحول سجل لتجميع السجلات.

  • إنشاء جهاز ظاهري يعمل بنظام Linux في مدخل Microsoft Azure.
  • أنظمة تشغيل Linux المدعومة لعامل Azure Monitor.

• إذا لم يكن معيد توجيه السجل الخاص بك جهازا ظاهريا ل Azure، فيجب أن يكون عامل Azure Arc الاتصال ed Machine مثبتا عليه.

• يجب أن يكون الجهاز الظاهري لمحول سجل Linux مثبتا عليه Python 2.7 أو 3. قم باستخدام الأمر python --version أو python3 --version للتحقق. إذا كنت تستخدم Python 3، فتأكد من تعيينه كأمر افتراضي على الجهاز، أو قم بتشغيل البرامج النصية باستخدام الأمر "python3" بدلا من "python".

• يجب أن يكون لدى معاد توجيه السجل إما البرنامج الخفي syslog-ng أو rsyslog ممكن.

• للحصول على متطلبات المساحة لمحول السجل الخاص بك، راجع معيار أداء عامل Azure Monitor. يمكنك أيضا مراجعة منشور المدونة هذا، والذي يتضمن تصميمات لاستيعاب قابل للتطوير.

• يجب تكوين مصادر السجل وأجهزة الأمان والأجهزة لإرسال رسائل السجل الخاصة بهم إلى برنامج Syslog الخفي لمعيد توجيه السجل بدلا من برنامج Syslog الخفي المحلي الخاص بهم.

متطلبات أمان الجهاز

قم بتكوين أمان الجهاز وفقا لنهج أمان مؤسستك. على سبيل المثال، قم بتكوين شبكتك لتتوافق مع نهج أمان شبكة الشركة وتغيير المنافذ والبروتوكولات في البرنامج الخفي لتتوافق مع متطلباتك. لتحسين تكوين أمان الجهاز، أو تأمين الجهاز الظاهري في Azure، أو مراجعة أفضل الممارسات هذه لأمان الشبكة.

إذا كانت أجهزتك ترسل سجلات Syslog وCEF عبر TLS، على سبيل المثال، لأن معيد توجيه السجل الخاص بك في السحابة، فأنت بحاجة إلى تكوين برنامج Syslog الخفي (rsyslog أو syslog-ng) للاتصال في TLS. لمزيد من المعلومات، راجع:

• تشفير حركة مرور Syslog باستخدام TLS - rsyslog
• تشفير رسائل السجل باستخدام TLS - syslog-ng

تكوين موصل البيانات

تتضمن عملية إعداد Syslog عبر AMA أو Common Event Format (CEF) عبر موصلات بيانات AMA الخطوات التالية:

1. تثبيت عامل Azure Monitor وإنشاء قاعدة تجميع البيانات (DCR) باستخدام أي من الطرق التالية:
   • مدخل Azure أو Defender
   • واجهة برمجة تطبيقات استيعاب سجلات Azure Monitor
2. إذا كنت تجمع سجلات من أجهزة أخرى باستخدام معاد توجيه السجل، فقم بتشغيل البرنامج النصي "التثبيت" على معاد توجيه السجل لتكوين البرنامج الخفي Syslog للاستماع إلى الرسائل من الأجهزة الأخرى، ولفتح المنافذ المحلية الضرورية.

حدد علامة التبويب المناسبة للحصول على الإرشادات.

مدخل Azure أو Defender

إنشاء قاعدة جمع البيانات

للبدء، افتح موصل البيانات في Microsoft Sentinel وأنشئ قاعدة موصل بيانات.

1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن Configuration، حدد Data connectors.
   بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد موصلات بيانات تكوين>Microsoft Sentinel>.

2. بالنسبة إلى syslog، اكتب Syslog في مربع البحث . من النتائج، حدد Syslog عبر موصل AMA .
   بالنسبة إلى CEF، اكتب CEF في مربع البحث . من النتائج، حدد Common Event Format (CEF) عبر موصل AMA .

3. حدد فتح صفحة الموصل في جزء التفاصيل.

4. في منطقة التكوين ، حدد +Create data collection rule.

   

   

5. في علامة التبويب Basic :

   • اكتب اسم DCR.
   • حدد Subscription الخاص بك.
   • حدد مجموعة الموارد حيث تريد تحديد موقع DCR الخاص بك.

   

6. حدد Next : Resource>.

تعريف موارد الجهاز الظاهري

في علامة التبويب الموارد ، حدد الأجهزة التي تريد تثبيت AMA عليها - في هذه الحالة، جهاز معاد توجيه السجل. إذا لم يظهر معيد توجيه السجل في القائمة، فقد لا يكون عامل Azure الاتصال ed Machine مثبتا.

1. استخدم عوامل التصفية المتوفرة أو مربع البحث للعثور على الجهاز الظاهري لإعادة توجيه السجل. قم بتوسيع اشتراك في القائمة لمشاهدة مجموعات الموارد الخاصة به، ومجموعة موارد لمشاهدة الأجهزة الظاهرية الخاصة بها.

2. حدد الجهاز الظاهري لإعادة توجيه السجل الذي تريد تثبيت AMA عليه. تظهر خانة الاختيار بجوار اسم الجهاز الظاهري عند المرور فوقه.

   

3. راجع تغييراتك وحدد Next: Collect >.

تحديد المرافق والخطورة

يجب أن تدرك أن استخدام نفس المرفق لكل من رسائل Syslog وCEF قد يؤدي إلى تكرار استيعاب البيانات. لمزيد من المعلومات، راجع تجنب تكرار استيعاب البيانات.

1. في علامة التبويب Collect ، حدد الحد الأدنى لمستوى السجل لكل مرفق. عند تحديد مستوى سجل، يجمع Microsoft Sentinel سجلات للمستوى المحدد والمستويات الأخرى ذات الخطورة الأعلى. على سبيل المثال، إذا حددت LOG_ERR، يجمع Microsoft Sentinel سجلات لمستويات LOG_ERR LOG_CRIT LOG_ALERT LOG_EMERG.

   

2. راجع التحديدات وحدد Next: Review + create.

مراجعة القاعدة وإنشاءها

بعد إكمال جميع علامات التبويب، راجع ما أدخلته وأنشئ قاعدة تجميع البيانات.

1. في علامة التبويب مراجعة وإنشاء ، حدد إنشاء.

   

   يقوم الموصل بتثبيت عامل Azure Monitor على الأجهزة التي حددتها عند إنشاء DCR الخاص بك.

2. تحقق من الإعلامات في مدخل Microsoft Azure أو مدخل Microsoft Defender لمعرفة وقت إنشاء DCR وتثبيت العامل.

3. حدد تحديث في صفحة الموصل لمشاهدة DCR المعروض في القائمة.

واجهة برمجة تطبيقات استيعاب السجلات

تثبيت عامل Azure Monitor

اتبع الإرشادات المناسبة من وثائق Azure Monitor لتثبيت عامل Azure Monitor على معاد توجيه السجل. تذكر استخدام التعليمات لنظام التشغيل Linux، وليس لنظام التشغيل Windows.

• تثبيت AMA باستخدام PowerShell
• تثبيت AMA باستخدام Azure CLI
• تثبيت AMA باستخدام قالب Azure Resource Manager

يمكنك إنشاء قواعد تجميع البيانات (DCRs) باستخدام واجهة برمجة تطبيقات استيعاب سجلات Azure Monitor. لمزيد من المعلومات، راجع قواعد جمع البيانات في Azure Monitor.

إنشاء قاعدة جمع البيانات

إنشاء ملف JSON لقاعدة جمع البيانات، وإنشاء طلب واجهة برمجة التطبيقات، وإرسال الطلب.

1. إعداد ملف DCR بتنسيق JSON. محتويات هذا الملف هي نص الطلب في طلب واجهة برمجة التطبيقات.

   على سبيل المثال، راجع نص طلب إنشاء Syslog/CEF DCR. لتجميع رسائل Syslog وCEF في نفس قاعدة جمع البيانات، راجع مثال تدفقات Syslog وCEF في نفس DCR.

   • تحقق من تعيين streams الحقل إلى Microsoft-Syslog لرسائل Syslog، أو إلى Microsoft-CommonSecurityLog لرسائل CEF.
   • أضف مستويات سجل التصفية والمرفق في facilityNames المعلمات و logLevels . راجع أمثلة على أقسام المرافق ومستويات السجل.

2. إنشاء طلب واجهة برمجة تطبيقات في عميل واجهة برمجة تطبيقات REST من اختيارك.

   1. بالنسبة لعنوان URL للطلب والعنوان، انسخ عنوان URL للطلب التالي ورأسه.

      PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2022-06-01
      

      • استبدل القيم المناسبة للعناصر النائبة {subscriptionId} و {resourceGroupName} .
      • أدخل اسما من اختيارك ل DCR بدلا من {dataCollectionRuleName} العنصر النائب.

   2. بالنسبة إلى نص الطلب، انسخ والصق محتويات ملف DCR JSON الذي قمت بإنشائه (في الخطوة 1 أعلاه) في نص الطلب.

3. أرسل الطلب.

   للحصول على مثال للاستجابة التي يجب أن تتلقاها، راجع استجابة إنشاء Syslog/CEF DCR.

إقران DCR مع معاد توجيه السجل

الآن تحتاج إلى إنشاء اقتران DCR (DCRA) يربط DCR إلى مورد الجهاز الظاهري الذي يستضيف معاد توجيه السجل الخاص بك.

1. إنشاء طلب واجهة برمجة تطبيقات في عميل واجهة برمجة تطبيقات REST من اختيارك.

2. بالنسبة لعنوان URL للطلب والعنوان، انسخ عنوان URL للطلب التالي والعنوان.

   PUT 
   https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{virtualMachineName}/providers/Microsoft.Insights/dataCollectionRuleAssociations/{dataCollectionRuleAssociationName}?api-version=2022-06-01
   

   • استبدل القيم المناسبة بالعناصر النائبة {subscriptionId}{resourceGroupName}و و{virtualMachineName}.
   • أدخل اسما من اختيارك ل DCR بدلا من {dataCollectionRuleAssociationName} العنصر النائب.

3. بالنسبة إلى نص الطلب، انسخ نص الطلب التالي.

   {
     "properties": {
       "dataCollectionRuleId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}"
     }
   }
   

   • استبدل القيم المناسبة للعناصر النائبة {subscriptionId} و {resourceGroupName} .
   • أدخل اسما من اختيارك ل DCR بدلا من {dataCollectionRuleName} العنصر النائب.

4. أرسل الطلب.

أمثلة على أقسام المرافق ومستويات السجل

راجع هذه الأمثلة على إعدادات مستويات التسهيلات والسجلات. name يتضمن الحقل اسم عامل التصفية.

بالنسبة لاستيعاب رسالة CEF، يجب أن تكون "Microsoft-CommonSecurityLog" قيمة بدلا "streams" من "Microsoft-Syslog".

يجمع هذا المثال الأحداث من cronlocal3daemonlocal0مرافق وuucp، مع ErrorCriticalWarningAlertمستويات السجل و:Emergency

    "dataSources": {
      "syslog": [
        {
        "name": "SyslogStream0",
        "streams": [
          "Microsoft-Syslog"
        ],
        "facilityNames": [ 
          "cron",
          "daemon",
          "local0",
          "local3", 
          "uucp"
        ],
        "logLevels": [ 
          "Warning", 
          "Error", 
          "Critical", 
          "Alert", 
          "Emergency"
        ]
      }
    ]
  }

تدفقات Syslog وCEF في نفس DCR

يوضح هذا المثال كيف يمكنك جمع رسائل Syslog وCEF في نفس DCR.

يجمع DCR رسائل حدث CEF من أجل:

• مرافق authpriv و mark مع CriticalNoticeEmergencyInfoWarningErrorAlertمستويات السجل و
• المرفق مع مستويات السجل EmergencyCriticalErrorAlertو Warningdaemon

يجمع رسائل حدث Syslog من أجل:

• local0مرافق kernو local5و و news مع CriticalAlertمستويات السجل و و Emergency
• مرافق mail و uucp مع Emergency مستوى السجل

    "dataSources": {
      "syslog": [
        {
          "name": "CEFStream1",
          "streams": [ 
            "Microsoft-CommonSecurityLog"
          ],
          "facilityNames": [ 
            "authpriv", 
            "mark"
          ],
          "logLevels": [
            "Info",
            "Notice", 
            "Warning", 
            "Error", 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "CEFStream2",
          "streams": [ 
            "Microsoft-CommonSecurityLog"
          ],
          "facilityNames": [ 
            "daemon"
          ],
          "logLevels": [ 
            "Warning", 
            "Error", 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "SyslogStream3",
          "streams": [ 
            "Microsoft-Syslog"
          ],
          "facilityNames": [ 
            "kern",
            "local0",
            "local5", 
            "news"
          ],
          "logLevels": [ 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "SyslogStream4",
          "streams": [ 
            "Microsoft-Syslog"
          ],
          "facilityNames": [ 
            "mail",
            "uucp"
          ],
          "logLevels": [ 
            "Emergency"
          ]
        }
      ]
    }

تشغيل البرنامج النصي "التثبيت"

إذا كنت تستخدم معاد توجيه السجل، فكون برنامج Syslog الخفي للاستماع إلى الرسائل الواردة من أجهزة أخرى، وافتح المنافذ المحلية الضرورية.

1. من صفحة الموصل، انسخ سطر الأوامر الذي يظهر ضمن تشغيل الأمر التالي لتثبيت مجمع CEF وتطبيقه:

   

   أو انسخه من هنا:

   sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python Forwarder_AMA_installer.py
   

2. سجل الدخول إلى جهاز إعادة توجيه السجل حيث قمت بتثبيت AMA للتو.

3. الصق الأمر الذي نسخته في الخطوة الأخيرة لتشغيل البرنامج النصي للتثبيت.
   يقوم البرنامج النصي بتكوين rsyslog البرنامج الخفي أو syslog-ng لاستخدام البروتوكول المطلوب وإعادة تشغيل البرنامج الخفي. يفتح البرنامج النصي المنفذ 514 للاستماع إلى الرسائل الواردة في كل من بروتوكولات UDP وTCP. لتغيير هذا الإعداد، راجع ملف تكوين البرنامج الخفي Syslog وفقا لنوع البرنامج الخفي الذي يعمل على الجهاز:

   • Rsyslog: /etc/rsyslog.conf
   • Syslog-ng: /etc/syslog-ng/syslog-ng.conf

   إذا كنت تستخدم Python 3، ولم يتم تعيينه كأمر افتراضي على الجهاز، فاستبدل python3python في الأمر الملصق. راجع متطلبات معاد توجيه السجل.

   إشعار

   لتجنب سيناريوهات القرص الكامل حيث لا يمكن للعامل العمل، نوصي بتعيين syslog-ng أو rsyslog التكوين لعدم تخزين السجلات غير الضرورية. يعطل سيناريو "القرص الكامل" وظيفة AMA المثبتة. لمزيد من المعلومات، راجع RSyslog أو Syslog-ng.

اختبار الموصل

تحقق من استيعاب الرسائل من جهاز Linux أو أجهزة الأمان والأجهزة في Microsoft Sentinel.

1. للتحقق من أن البرنامج الخفي syslog قيد التشغيل على منفذ UDP وأن AMA يستمع، قم بتشغيل هذا الأمر:

   netstat -lnptv
   

   يجب أن تشاهد البرنامج الخفي rsyslog أو syslog-ng يستمع على المنفذ 514.

2. لالتقاط الرسائل المرسلة من مسجل أو جهاز متصل، قم بتشغيل هذا الأمر في الخلفية:

   tcpdump -i any port 514 -A -vv &
   

3. بعد إكمال التحقق من الصحة، نوصي بإيقاف tcpdump: اكتب fg ثم حدد Ctrl+C.

4. لإرسال رسائل تجريبية، أكمل الخطوات التالية:

   • استخدم الأداة المساعدة netcat. في هذا المثال، تقرأ الأداة المساعدة البيانات المنشورة echo من خلال الأمر مع إيقاف تشغيل مفتاح سطر جديد. ثم تكتب الأداة المساعدة البيانات إلى منفذ 514 UDP على المضيف المحلي دون مهلة. لتنفيذ الأداة المساعدة netcat، قد تحتاج إلى تثبيت حزمة أخرى.

     echo -n "<164>CEF:0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time" | nc -u -w0 localhost 514
     

   • استخدم المسجل. يكتب هذا المثال الرسالة إلى local 4 المرفق، على مستوى Warningالخطورة ، إلى المنفذ 514، على المضيف المحلي، بتنسيق CEF RFC. -t يتم استخدام العلامتين و --rfc3164 للامتثال لتنسيق RFC المتوقع.

     logger -p local4.warn -P 514 -n 127.0.0.1 --rfc3164 -t CEF "0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time"
     

5. للتحقق من تثبيت الموصل بشكل صحيح، قم بتشغيل البرنامج النصي لاستكشاف الأخطاء وإصلاحها باستخدام أحد هذه الأوامر:

   • بالنسبة لسجلات CEF، قم بتشغيل:

      sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --cef
     

   • بالنسبة لسجلات Cisco Adaptive Security Appliance (ASA)، قم بتشغيل:

     sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --asa
     

   • بالنسبة لسجلات Cisco Firepower Threat Defense (FTD)، قم بتشغيل:

     sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --ftd
     

المحتوى ذو الصلة

• Syslog و Common Event Format (CEF) عبر موصلات AMA ل Microsoft Sentinel
• قواعد جمع البيانات في Azure Monitor