Nasazení nástroje pro předávání protokolů do ingestování protokolů Syslogu a CEF do Služby Microsoft Sentinel

  • Článek

Upozornění

Tento článek odkazuje na CentOS, linuxovou distribuci, která se blíží stavu Konec životnosti (EOL). Zvažte své použití a plánování odpovídajícím způsobem. Další informace najdete v doprovodných materiálech CentOS End Of Life.

Pokud chcete ingestovat protokoly Syslog a CEF do Služby Microsoft Sentinel, zejména ze zařízení a zařízení, do kterých nemůžete nainstalovat agenta Log Analytics přímo, budete muset určit a nakonfigurovat počítač s Linuxem, který bude shromažďovat protokoly z vašich zařízení a předávat je do pracovního prostoru Služby Microsoft Sentinel. Tento počítač může být fyzický nebo virtuální počítač ve vašem místním prostředí, virtuálním počítači Azure nebo virtuálním počítači v jiném cloudu.

Tento počítač má dvě komponenty, které se účastní tohoto procesu:

  • Démon syslogu, buď rsyslog , nebo syslog-ng, který shromažďuje protokoly.
  • Agent Log Analytics (označovaný také jako agent OMS), který předává protokoly do Microsoft Sentinelu.

Pomocí následujícího odkazu spustíte skript na určeném počítači, který provádí následující úlohy:

  • Nainstaluje agenta Log Analytics pro Linux (označovaný také jako agent OMS) a nakonfiguruje ho pro následující účely:

    • naslouchání zpráv CEF z integrovaného démona Syslog linuxu na portu TCP 25226
    • bezpečné odesílání zpráv přes protokol TLS do pracovního prostoru Služby Microsoft Sentinel, kde se analyzují a obohacují

  • Konfiguruje integrovaný proces démon Syslog linuxu (rsyslog.d/syslog-ng) pro následující účely:

    • naslouchání zpráv syslogu z vašich řešení zabezpečení na portu TCP 514
    • předávání pouze zpráv, které identifikuje jako CEF agentu Log Analytics na místním hostiteli pomocí portu TCP 25226

Důležité

Agent Log Analytics bude vyřazen 31. srpna 2024. Pokud ve svém nasazení Microsoft Sentinelu používáte agenta Log Analytics, doporučujeme začít plánovat migraci do AMA. Další informace najdete v tématu Migrace AMA pro Microsoft Sentinel.

Informace o nasazení protokolů Syslogu nebo CEF pomocí agenta služby Azure Monitor najdete v možnostech streamování protokolů ve formátu CEF a Syslog do Služby Microsoft Sentinel.

Požadavky

Každý datový konektor má vlastní sadu požadavků. Požadavky můžou zahrnovat, že musíte mít specifická oprávnění k pracovnímu prostoru Azure, předplatnému nebo zásadám. Nebo musíte splnit další požadavky na zdroj dat partnera, ke kterému se připojujete.

Požadavky pro každý datový konektor jsou uvedené na stránce příslušného datového konektoru v Microsoft Sentinelu.

Nainstalujte řešení produktu z centra obsahu v Microsoft Sentinelu. Pokud produkt není uvedený, nainstalujte řešení pro Common Event Format. Další informace najdete v tématu Zjišťování a správa obsahu od verze Microsoft Sentinelu.

Důležité

Verze operačního systému můžou mít různá data podpory a životní cyklus. Doporučujeme zkontrolovat oficiální dokumentaci každé distribuce, kde najdete nejpřesnější a aktuální data podpory a data ukončení životnosti.

Váš počítač musí splňovat následující požadavky:

  • Hardware (fyzický/virtuální)

    • Váš počítač s Linuxem musí mít minimálně 4 jádra procesoru a 8 GB paměti RAM.

      Poznámka:

      • Jeden počítač pro předávání protokolů s výše uvedenou konfigurací hardwaru a pomocí démona rsyslog má podporovanou kapacitu až 8500 událostí za sekundu (EPS).

  • Operační systém

    • CentOS 7 a 8 (ne 6), včetně podverzí (64bitová/32bitová verze)
    • Amazon Linux 2 (pouze 64bitová verze)
    • Oracle Linux 7, 8 (64bitová/32bitová verze)
    • Red Hat Enterprise Linux (RHEL) Server 7 a 8 (ne 6), včetně podverzí (64bitová/32bitová verze)
    • Debian GNU/Linux 8 a 9 (64bitová/32bitová verze)
    • Ubuntu Linux 20.04 LTS (jenom 64bitová verze)
    • SUSE Linux Enterprise Server 12, 15 (jenom 64bitová verze)

  • Verze démona

    • Rsyslog: v8
    • Syslog-ng: 2.1 - 3.22.1

  • Balíčky

    • Na počítači s Linuxem musíte mít nainstalovaný Python 2.7 nebo 3 .
      python --version Pomocí příkazu nebo python3 --version příkazu zkontrolujte.
    • Musíte mít balíček GNU Wget .

  • Podpora syslog RFC

    • Syslog RFC 3164
    • Syslog RFC 5424

  • Konfigurace

    • Na určeném počítači s Linuxem musíte mít zvýšená oprávnění (sudo).
    • Před instalací agenta Log Analytics nesmí být počítač s Linuxem připojený k žádným pracovním prostorům Azure.

  • Data

    • V určitém okamžiku tohoto procesu možná budete potřebovat ID pracovního prostoru a primární klíč pracovního prostoru služby Microsoft Sentinel. Najdete je v nastavení pracovního prostoru v části Správa agentů.

Bezpečnostní aspekty

Nezapomeňte nakonfigurovat zabezpečení počítače podle zásad zabezpečení vaší organizace. Můžete například nakonfigurovat síť tak, aby odpovídala zásadám zabezpečení podnikové sítě, a změnit porty a protokoly v procesu démon tak, aby odpovídaly vašim požadavkům. Ke zlepšení konfigurace zabezpečení počítače můžete použít následující pokyny: Zabezpečení virtuálního počítače v Azure, osvědčené postupy zabezpečení sítě.

Pokud vaše zařízení odesílají protokoly Syslog a CEF přes protokol TLS (protože například váš nástroj pro předávání protokolů je v cloudu), budete muset nakonfigurovat démon syslogu (rsyslog nebo syslog-ng) pro komunikaci v protokolu TLS. Podrobnosti najdete v následující dokumentaci:

Spuštění zaváděcího skriptu

  1. V Microsoft Sentinelu vyberte Datové konektory.

  2. V galerii konektorů vyberte konektor pro váš produkt. Pokud váš produkt není uvedený, vyberte Formát CEF (Common Event Format).

  3. V podokně podrobností konektoru vyberte Otevřít stránku konektoru.

  4. Na stránce konektoru zkopírujte v pokynech v části 1.2 Instalace kolektoru CEF na počítač s Linuxem odkaz uvedený v části Spuštění následujícího skriptu pro instalaci a použití kolektoru CEF.
    Pokud nemáte přístup k této stránce, zkopírujte odkaz z níže uvedeného textu (zkopírujte a vložte ID pracovního prostoru a primární klíč z výše uvedeného místa místo zástupných symbolů):

    sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [WorkspaceID] [Workspace Primary Key]

  5. Vložte odkaz nebo text do příkazového řádku v nástroji pro předávání protokolů a spusťte ho.

  6. Během spouštění skriptu se ujistěte, že se nezobrazují žádné chybové nebo upozorňující zprávy.

  7. Nakonfigurujte zařízení tak, aby odesílala zprávy CEF.

    Poznámka:

    Použití stejného počítače k přeposílání prostých zpráv Syslogu i CEF

    Pokud chcete tento počítač pro předávání protokolů použít k předávání zpráv Syslogu i CEF, pak se chcete vyhnout duplikaci událostí do tabulek Syslog a CommonSecurityLog:

    1. Na každém zdrojovém počítači, který odesílá protokoly do předávací služby ve formátu CEF, musíte upravit konfigurační soubor Syslog a odebrat tak zařízení, která se používají k odesílání zpráv CEF. Tímto způsobem se v Syslogu neodesílají ani zařízení odesílaná v CEF. Podrobné pokyny, jak to provést, najdete v tématu Konfigurace syslogu v linuxovém agentu .

    2. Na těchto počítačích musíte spustit následující příkaz, abyste zakázali synchronizaci agenta s konfigurací Syslogu v Microsoft Sentinelu. Tím se zajistí, že se změna konfigurace, kterou jste provedli v předchozím kroku, nepřepíše.
      sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'

Vysvětlení skriptu nasazení

Následuje popis akcí skriptu nasazení pomocí příkazu.

Zvolte démon syslogu, abyste zobrazili příslušný popis.

  1. Stažení a instalace agenta Log Analytics:

    • Stáhne instalační skript pro agenta Log Analytics (OMS) Linux.

      wget -O onboard_agent.sh https://raw.githubusercontent.com/Microsoft/OMS-Agent-for-Linux/
    master/installer/scripts/onboard_agent.sh

    • Nainstaluje agenta Log Analytics.

      sh onboard_agent.sh -w [workspaceID] -s [Primary Key] -d opinsights.azure.com

  2. Nastavení konfigurace agenta Log Analytics pro naslouchání na portu 25226 a předávání zpráv CEF do Microsoft Sentinelu:

    • Stáhne konfiguraci z úložiště GitHub agenta Log Analytics.

      wget -O /etc/opt/microsoft/omsagent/[workspaceID]/conf/omsagent.d/security_events.conf
    https://raw.githubusercontent.com/microsoft/OMS-Agent-for-Linux/master/installer/conf/
    omsagent.d/security_events.conf

  3. Konfigurace démona Syslog:

    • Otevře port 514 pro komunikaci TCP pomocí konfiguračního souboru /etc/rsyslog.confsyslog .

    • Konfiguruje démon pro předávání zpráv CEF agentu Log Analytics na portu TCP 25226 vložením speciálního konfiguračního souboru security-config-omsagent.conf do adresáře /etc/rsyslog.d/démon syslog .

      security-config-omsagent.conf Obsah souboru:

      if $rawmsg contains "CEF:" or $rawmsg contains "ASA-" then @@127.0.0.1:25226

  4. Restartování démona Syslogu a agenta Log Analytics:

    • Restartuje démona rsyslog.

      service rsyslog restart

    • Restartuje agenta Log Analytics.

      /opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  5. Ověření mapování pole Počítač podle očekávání:

    • Pomocí následujícího příkazu zajistí, že je pole Počítač ve zdroji syslogu správně namapované v agentu Log Analytics:

      grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb

    • Pokud dojde k problému s mapováním, skript zobrazí chybovou zprávu, která vás nasměruje na ruční spuštění následujícího příkazu (použití ID pracovního prostoru místo zástupného symbolu). Příkaz zajistí správné mapování a restartuje agenta.

      sudo sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]

Další kroky

V tomto dokumentu jste zjistili, jak nasadit agenta Log Analytics pro připojení zařízení CEF ke službě Microsoft Sentinel. Další informace o službě Microsoft Sentinel najdete v následujících článcích: