[مهمل] نشر معاد توجيه السجل لاستيعاب سجلات Syslog وCEF إلى Microsoft Sentinel

هام

يتم الآن دعم جمع السجلات من العديد من الأجهزة والأجهزة من قبل تنسيق الأحداث العامة (CEF) عبر AMA أو Syslog عبر AMA أو السجلات المخصصة عبر موصل بيانات AMA في Microsoft Sentinel. لمزيد من المعلومات، راجع البحث عن موصل بيانات Microsoft Sentinel.

تنبيه

تشير هذه المقالة إلى CentOS، توزيع Linux الذي وصل إلى حالة نهاية العمر الافتراضي (EOL). يرجى مراعاة استخدامك والتخطيط وفقا لذلك. لمزيد من المعلومات، راجع إرشادات نهاية العمر الافتراضي CentOS.

لاستيعاب سجلات Syslog وCEF في Microsoft Sentinel، خاصة من الأجهزة والأجهزة التي لا يمكنك تثبيت عامل Log Analytics عليها مباشرة، ستحتاج إلى تعيين وتكوين جهاز Linux الذي سيجمع السجلات من أجهزتك وإعادة توجيهها إلى مساحة عمل Microsoft Sentinel. يمكن أن يكون هذا الجهاز جهاز فعلي أو ظاهري في البيئة الداخلية أو Azure VM أو جهاز VM في مجموعة نظراء أخرى.

يحتوي هذا الجهاز على مكونين يشاركان في هذه العملية:

• البرنامج الخفي لـsyslog، إما rsyslog أو syslog-ng، الذي يجمع السجلات.
• عامل تحليلات السجل (المعروف أيضًا باسم عامل OMS)، الذي يقوم بإعادة توجيه السجلات إلى Microsoft Sentinel.

باستخدام الارتباط المتوفر أدناه، سيتم تشغيل برنامج نصي على الجهاز المعين الذي يقوم بالمهام التالية:

• تثبيت عامل Log Analytics لنظام Linux (المعروف أيضاً باسم عامل OMS) وتهيئته للأغراض التالية:

  • الإنصات إلى رسائل تنسيق الحدث المشترك من البرنامج الخفي لـ Linux Syslog المدمج على منفذ TCP 25226
  • إرسال الرسائل بأمان عبر TLS إلى مساحة عمل Microsoft Azure Sentinel الخاصة بك، حيث يتم تحليلها وإثرائها

• لتكوين البرنامج الخفي المدمج في Linux Syslog (rsyslog.d/syslog-ng) للأغراض التالية:

  • الانصات لرسائل Syslog من حلول الأمان الخاصة بك على منفذ TCP 514
  • إعادة توجيه الرسائل التي يحددها فقط على أنها تنسيق الحدث المشترك إلى وكيل Log Analytics على المضيف المحلي باستخدام منفذ TCP 25226

هام

سيتم إيقاف عامل Log Analytics في 31 أغسطس 2024. إذا كنت تستخدم عامل Log Analytics في عملية توزيع Microsoft Azure Sentinel، فإننا نوصيك بالبدء في التخطيط لترحيلك إلى AMA. لمزيد من المعلومات، راجع ترحيل AMA لـMicrosoft Sentinel.

للحصول على معلومات حول نشر سجلات Syslog و/أو CEF مع عامل Azure Monitor، راجع خيارات دفق السجلات بتنسيق CEF وSyslog إلى Microsoft Sentinel.

المتطلبات الأساسية

يحتوي كل موصل بيانات على مجموعة المتطلبات الأساسية الخاصة به. قد تتضمن المتطلبات الأساسية أنه يجب أن يكون لديك أذونات محددة على مساحة عمل Azure أو اشتراكك أو نهجك. أو، يجب أن تفي بمتطلبات أخرى لمصدر بيانات الشريك الذي تتصل به.

يتم سرد المتطلبات الأساسية لكل موصل بيانات في صفحة موصل البيانات ذات الصلة في Microsoft Sentinel.

تثبيت حل المنتج من مركز المحتوى في Microsoft Sentinel. إذا لم يكن المنتج مدرجا، فقم بتثبيت الحل ل Common Event Format. لمزيد من المعلومات، راجع اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته.

هام

قد يكون لإصدارات نظام التشغيل تواريخ دعم ودورات حياة مختلفة. نوصي بالتحقق من الوثائق الرسمية لكل توزيع للحصول على الدعم الأكثر دقة وتحديثا وتواريخ انتهاء العمر الافتراضي.

يجب أن يفي الجهاز بالمتطلبات التالية:

• الأجهزة (الفعلية/الظاهرية)

  • يجب أن يحتوي جهاز Linux على ما لا يقل عن 4 ذاكرات أساسية لوحدة المعالجة المركزية وذاكرة وصول عشوائي بسعة 8 غيغابايت.

    إشعار

    • جهاز معيد توجيه سجل واحد مع تكوين الأجهزة أعلاه واستخدام البرنامج الخفي rsyslog لديه سعة مدعومة تصل إلى 8500 حدث في الثانية (EPS) التي تم جمعها.

• نظام التشغيل

  • Amazon Linux 2 (64 بت فقط)
  • Oracle Linux 7، 8 (64 بت/32 بت)
  • ريد هات المؤسسة لينكس (RHEL) خادم 7 و 8 (وليس 6)، بما في ذلك الإصدارات الثانوية (64 بت / 32 بت)
  • دبيان غنو/لينكس 8 و9 (64 بت/32 بت)
  • Ubuntu Linux 20.04 LTS (64 بت فقط)
  • SUSE لينكس خادم المؤسسة 12، 15 (64 بت فقط)
  • لم تعد توزيعات CentOS مدعومة، حيث وصلت إلى حالة نهاية العمر الافتراضي (EOL). راجع الملاحظة في بداية هذه المقالة.

• إصدارات Daemon

  • Rsyslog: v8
  • Syslog -ng: 2.1 - 3.22.1

• الرزم

  • يجب أن يكون لديك Python 2.7 أو 3 مثبتا على جهاز Linux.
    قم باستخدام الأمر python --version أو python3 --version للتحقق.
  • يجب أن يكون لديك حزمة GNU Wget .

• دعم Syslog RFC

  • Syslog RFC 3164
  • Syslog RFC 5424

• التكوين

  • يجب أن يكون لديك أذونات مرتفعة (سودو) على جهاز لينكس المعين.
  • يجب ألا يكون جهاز Linux متصلًا بأي مساحات عمل Azure قبل تثبيت عامل Log Analytics.

• بيانات

  • قد تحتاج إلى معرف مساحة عمل مساحة عمل Microsoft Sentinel والمفتاح الأساسي لمساحة العمل في مرحلة ما من هذه العملية. يمكنك العثور عليها في إعدادات مساحة العمل، ضمن إدارة العوامل.

اعتبارات الأمان

تأكد من تكوين أمان الجهاز وفقًا لنهج أمان المؤسسة الخاصة بك. على سبيل المثال، يمكنك تكوين شبكة الاتصال لمحاذاة مع نهج أمان شبكة الشركة وتغيير المنافذ والبروتوكولات في البرنامج الخفي لمحاذاة مع المتطلبات الخاصة بك. يمكنك استخدام الإرشادات التالية لتحسين تكوين أمان الجهاز: الجهاز الظاهري الآمن في Azure، وأفضل الممارسات لأمان الشبكة.

إذا كانت أجهزتك ترسل سجلات Syslog وCEF عبر TLS (لأن، على سبيل المثال، معيد توجيه السجل الخاص بك في السحابة)، فستحتاج إلى تكوين البرنامج الخفي Syslog (rsyslog أو syslog-ng) للاتصال في TLS. راجع الوثائق التالية للحصول على التفاصيل:

• تشفير حركة مرور Syslog باستخدام TLS – rsyslog
• تشفير رسائل السجل باستخدام TLS - syslog-ng

تشغيل البرنامج النصي للتوزيع

1. في Microsoft Sentinel، حدد موصلات البيانات.

2. حدد الموصل لمنتجك من معرض الموصلات. إذا لم يكن منتجك مدرجا، فحدد Common Event Format (CEF).

3. في جزء التفاصيل للموصل، حدد فتح صفحة الموصل.

4. في صفحة الموصل، في الإرشادات الموجودة ضمن 1.2 تثبيت جامع CEF على جهاز Linux، انسخ الارتباط المتوفر ضمن تشغيل البرنامج النصي التالي لتثبيت جامع CEF وتطبيقه.
   إذا لم يكن لديك حق الوصول إلى تلك الصفحة، فانسخ الارتباط من النص أدناه (نسخ ولصق معرف مساحة العمل والمفتاح الأساسي من أعلى بدلًا من العناصر النائبة):

   sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [WorkspaceID] [Workspace Primary Key]
   

5. الصق الارتباط أو النص في سطر الأوامر على معاد توجيه السجل، وقم بتشغيله.

6. في أثناء تشغيل البرنامج النصي، تحقق للتأكد من عدم تلقي أي رسائل خطأ أو تحذير.

   • قد تتلقى رسالة التوجه الخاصة بك لتشغيل أمر لتصحيح مشكلة في تعيين حقل الكمبيوتر. راجع الشرح في البرنامج النصي للتوزيع للحصول على التفاصيل.

7. قم بتكوين جهازك لإرسال رسائل CEF.

   إشعار

   استخدام نفس الجهاز لإعادة توجيه كل من رسائل Syslog و CEF العادية

   إذا كنت تخطط لاستخدام جهاز إعادة توجيه السجل هذا لإعادة توجيه رسائل Syslog بالإضافة إلى CEF، ثم لتجنب تكرار الأحداث إلى جداول Syslog وCommonSecurityLog:

   1. على كل جهاز مصدر يرسل سجلات إلى معدي التوجيه بتنسيق CEF يجب تحرير ملف التكوين Syslog لإزالة المرافق التي يتم استخدامها لإرسال رسائل CEF. بهذه الطريقة، لن يتم أيضًا إرسال التسهيلات التي يتم إرسالها في CEF في Syslog. انظرتكوين Syslog على عامل Linux للحصول على إرشادات مفصلة بشأن طريقة القيام بذلك.

   2. يجب عليك تشغيل الأمر التالي على تلك الأجهزة لتعطيل مزامنة العامل مع تكوين Syslog في Microsoft Azure Sentinel. وهذا يشمل عدم الكتابة فوق تغيير التكوين الذي أجريته في الخطوة السابقة.
      sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'

شرح البرنامج النصي للتوزيع

فيما يلي وصف الأوامر حسب الأمر لإجراءات البرنامج النصي للتوزيع.

اختر البرنامج الخفي لـ syslog للاطلاع على الوصف المناسب.

syslog-ng الخفي

1. تنزيل عامل Log Analytics وتثبيته:

   • تنزيل البرنامج النصي للتثبيت لعامل Log Analytics (OMS) Linux.

     wget -O onboard_agent.sh https://raw.githubusercontent.com/Microsoft/OMS-Agent-for-Linux/
         master/installer/scripts/onboard_agent.sh
     

   • تثبيت عامل Log Analytics.

     sh onboard_agent.sh -w [workspaceID] -s [Primary Key] -d opinsights.azure.com
     

2. تعيين تكوين عامل Log Analytics للاستماع إلى المنفذ 25226 وإعادة توجيه رسائل CEF إلى Microsoft Sentinel:

   • تنزيل التكوين من مستودع GitHub لعامل Log Analytics.

     wget -O /etc/opt/microsoft/omsagent/[workspaceID]/conf/omsagent.d/security_events.conf
         https://raw.githubusercontent.com/microsoft/OMS-Agent-for-Linux/master/installer/conf/
         omsagent.d/security_events.conf
     

3. تكوين البرنامج الخفي Syslog:

   • يفتح المنفذ 514 لاتصال TCP باستخدام ملف تكوين syslog /etc/rsyslog.conf.

   • تكوين البرنامج الخفي لإعادة توجيه رسائل CEF إلى عامل Log Analytics على منفذ TCP 25226، عن طريق إدراج ملف security-config-omsagent.conf تكوين خاص في دليل syslog الخفي /etc/rsyslog.d/.

     محتويات الملف security-config-omsagent.conf:

     if $rawmsg contains "CEF:" or $rawmsg contains "ASA-" then @@127.0.0.1:25226 
     

4. إعادة تشغيل البرنامج الخفي Syslog وعامل Log Analytics:

   • إعادة تشغيل البرنامج الخفي لـrsyslog.

     service rsyslog restart
     

   • إعادة تشغيل عامل Log Analytics.

     /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

5. التحقق من تعيين حقل الكمبيوتر كما هو متوقع:

   • يضمن تعيين حقل الكمبيوتر في مصدر syslog بشكل صحيح في عامل Log Analytics، باستخدام الأمر التالي:

     grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb
     

   • إذا كانت هناك مشكلة في التحليل، ينتج عن البرنامج النصي رسالة خطأ تقوم بتوجيهكلتشغيل الأمر التالي يدوياً (تطبيق معرف مساحة العمل بدلا من العنصر النائب). يضمن الأمر التحليل الصحيح وإعادة تشغيل العامل.

     sudo sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

البرنامج الخفي الخاص بـ syslog-ng

1. تنزيل عامل Log Analytics وتثبيته:

   • تنزيل البرنامج النصي للتثبيت لعامل Log Analytics (OMS) Linux.

     wget -O onboard_agent.sh https://raw.githubusercontent.com/Microsoft/OMS-Agent-for-Linux/
         master/installer/scripts/onboard_agent.sh
     

   • تثبيت عامل Log Analytics.

     sh onboard_agent.sh -w [workspaceID] -s [Primary Key] -d opinsights.azure.com
     

2. تعيين تكوين عامل Log Analytics للاستماع إلى المنفذ 25226 وإعادة توجيه رسائل CEF إلى Microsoft Sentinel:

   • تنزيل التكوين من مستودع GitHub لعامل Log Analytics.

     wget -O /etc/opt/microsoft/omsagent/[workspaceID]/conf/omsagent.d/security_events.conf
         https://raw.githubusercontent.com/microsoft/OMS-Agent-for-Linux/master/installer/conf/
         omsagent.d/security_events.conf
     

3. تكوين البرنامج الخفي Syslog:

   • يفتح المنفذ 514 لاتصال TCP باستخدام ملف تكوين syslog /etc/syslog-ng/syslog-ng.conf.

   • تكوين البرنامج الخفي لإعادة توجيه رسائل CEF إلى عامل Log Analytics على منفذ TCP 25226، عن طريق إدراج ملف security-config-omsagent.conf تكوين خاص في دليل syslog الخفي /etc/syslog-ng/conf.d/.

     محتويات الملف security-config-omsagent.conf:

     filter f_oms_filter {match("CEF\|ASA" ) ;};destination oms_destination {tcp("127.0.0.1" port(25226));};
     log {source(s_src);filter(f_oms_filter);destination(oms_destination);};
     

4. إعادة تشغيل البرنامج الخفي Syslog وعامل Log Analytics:

   • إعادة تشغيل البرنامج الخفي syslog-ng.

     service syslog-ng restart
     

   • إعادة تشغيل عامل Log Analytics.

     /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

5. التحقق من تعيين حقل الكمبيوتر كما هو متوقع:

   • يضمن تعيين حقل الكمبيوتر في مصدر syslog بشكل صحيح في عامل Log Analytics، باستخدام الأمر التالي:

     grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb
     

   • إذا كانت هناك مشكلة في التحليل، ينتج عن البرنامج النصي رسالة خطأ تقوم بتوجيهكلتشغيل الأمر التالي يدوياً (تطبيق معرف مساحة العمل بدلا من العنصر النائب). يضمن الأمر التحليل الصحيح وإعادة تشغيل العامل.

     sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

الخطوات التالية

في هذا المستند، تعلمت كيفية نشر عامل Log Analytics لتوصيل أجهزة CEF بـMicrosoft Sentinel. راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel:

• تعرف على معلومات بشأن تعيين الحقول CEF وCommonSecurityLog .
• تعرف على طريقةالحصول على رؤية لبياناتك والتهديدات المحتملة.
• ابدأ في اكتشاف التهديدات باستخدام Microsoft Azure Sentinel.