Syslog via le connecteur de données AMA – Configurer une appliance ou un appareil spécifique pour l’ingestion des données Microsoft Sentinel

La collecte de journaux à partir de nombreuses appliances et appareils de sécurité est prise en charge par Syslog via le connecteur de données AMA dans Microsoft Sentinel. Cet article répertorie les instructions d’installation fournies par le fournisseur pour des appliances de sécurité et des appareils spécifiques qui utilisent ce connecteur de données. Contactez le fournisseur pour obtenir des mises à jour, plus d’informations ou où les informations ne sont pas disponibles pour votre appliance de sécurité ou appareil.

Pour transférer des données à votre espace de travail Log Analytics pour Microsoft Sentinel, suivez les étapes de réception des messages syslog et CEF vers Microsoft Sentinel avec l’agent Azure Monitor. Lorsque vous effectuez ces étapes, installez Syslog via le connecteur de données AMA dans Microsoft Sentinel. Ensuite, utilisez les instructions du fournisseur appropriés dans cet article pour terminer la configuration.

Pour plus d’informations sur la solution Microsoft Sentinel associée pour chacune de ces appliances ou appareils, recherchez les Place de marché Azure des modèles de solution de type>de produit ou passez en revue la solution à partir du hub de contenu dans Microsoft Sentinel.

Barracuda CloudGen Firewall

Suivez ces instructions pour configurer la diffusion en continu syslog. Utilisez l’adresse IP ou le nom d’hôte de la machine Linux avec l’agent Microsoft Sentinel installé pour l’adresse IP de destination.

Blackberry CylancePROTECT

Suivez ces instructions pour configurer le connecteur CylancePROTECT pour transférer Syslog. Utilisez l’adresse IP ou le nom d’hôte de l’appareil Linux avec l’agent Linux installé comme adresse IP de destination.

Cisco Application Centric Infrastructure (ACI)

Configurez le système Cisco ACI pour envoyer des journaux via syslog au serveur distant où vous installez l’agent. Suivez ces étapes pour configurer la destination Syslog, le groupe de destination et la source Syslog.

Ce connecteur de données a été développé à l’aide de Cisco ACI Release 1.x.

Moteur Cisco Identity Services (ISE)

Suivez ces instructions pour configurer les emplacements distants de collection syslog dans votre déploiement Cisco ISE.

Cisco Stealthwatch

Effectuez les étapes de configuration suivantes pour obtenir les journaux Cisco Stealthwatch dans Microsoft Sentinel.

1. Connectez-vous à la console SMC (Stealthwatch Management Console) en tant qu’administrateur.

2. Dans la barre de menus, sélectionnez Configuration>Response Management.

3. Dans la section Actions du menu Gestion des réponses, sélectionnez Ajouter un > message Syslog.

4. Dans la fenêtre Ajouter une action de message Syslog, configurez les paramètres.

5. Entrez le format personnalisé suivant :

   |Lancope|Stealthwatch|7.3|{alarm_type_id}|0x7C|src={source_ip}|dst={target_ip}|dstPort={port}|proto={protocol}|msg={alarm_type_description}|fullmessage={details}|start={start_active_time}|end={end_active_time}|cat={alarm_category_name}|alarmID={alarm_id}|sourceHG={source_host_group_names}|targetHG={target_host_group_names}|sourceHostSnapshot={source_url}|targetHostSnapshot={target_url}|flowCollectorName={device_name}|flowCollectorIP={device_ip}|domain={domain_name}|exporterName={exporter_hostname}|exporterIPAddress={exporter_ip}|exporterInfo={exporter_label}|targetUser={target_username}|targetHostname={target_hostname}|sourceUser={source_username}|alarmStatus={alarm_status}|alarmSev={alarm_severity_name}

6. Sélectionnez le format personnalisé dans la liste et OK.

7. Sélectionnez Règles de gestion des > réponses.

8. Sélectionnez Ajouter et héberger une alarme.

9. Fournissez un nom de règle dans le champ Nom.

10. Créez des règles en sélectionnant des valeurs dans les menus Type et Options . Pour ajouter d’autres règles, sélectionnez l’icône de sélection. Pour une alarme d’hôte, combinez autant de types possibles dans une instruction que possible.

Ce connecteur de données a été développé à l’aide de Cisco Stealthwatch version 7.3.2

Cisco Unified Computing Systems (UCS)

Suivez ces instructions pour configurer le connecteur Cisco UCS pour transférer Syslog. Utilisez l’adresse IP ou le nom d’hôte de l’appareil Linux avec l’agent Linux installé comme adresse IP de destination.

Remarque

La fonctionnalité de ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto, qui fait partie intégrante de son opération. Cet analyseur est déployé dans le cadre de l’installation de la solution.

Mettez à jour l’analyseur et spécifiez le nom d’hôte des machines sources qui transmettent les journaux dans la première ligne de l’analyseur.

Pour accéder au code de fonction dans Log Analytics, accédez à la section Journaux Log Analytics/Microsoft Sentinel, sélectionnez Functions et recherchez l’alias CiscoUCS. Vous pouvez également charger directement le code de fonction. La mise à jour peut prendre environ 15 minutes après l’installation.

Cisco Web Security Appliance (WSA)

Configurez Cisco pour transférer des journaux via syslog vers le serveur distant où vous installez l’agent. Suivez ces étapes pour configurer Cisco WSA pour transférer des journaux via Syslog

Sélectionnez Syslog Push comme méthode de récupération.

Ce connecteur de données a été développé à l’aide d’AsyncOS 14.0 pour Cisco Web Security Appliance

Citrix Application Delivery Controller (ADC)

Configurez Citrix ADC (anciennement NetScaler) pour transférer des journaux via Syslog.

1. Accédez à l’onglet > Configuration audit > système > Serveurs Syslog >
2. Spécifiez le nom de l’action Syslog.
3. Définissez l’adresse IP du serveur et du port Syslog distants.
4. Définissez le type de transport en tant que TCP ou UDP en fonction de la configuration de votre serveur syslog distant.
5. Pour plus d’informations, consultez la documentation Citrix ADC (anciennement NetScaler).

Remarque

La fonctionnalité de ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto, qui fait partie intégrante de son opération. Cet analyseur est déployé dans le cadre de l’installation de la solution. Pour accéder au code de fonction dans Log Analytics, accédez à la section Journaux Log Analytics/Microsoft Sentinel, sélectionnez Functions et recherchez l’alias CitrixADCEvent. Vous pouvez également charger directement le code de fonction. La mise à jour peut prendre environ 15 minutes après l’installation.

Cet analyseur nécessite une watchlist nommée Sources_by_SourceType.

i. Si vous n’avez pas encore créé de watchlist, créez une watchlist à partir de Microsoft Sentinel dans le Portail Azure.

ii. Ouvrez Watchlist Sources_by_SourceType et ajoutez des entrées pour cette source de données.

ii. La valeur SourceType pour CitrixADC est CitrixADC. Pour plus d’informations, consultez les analyseurs ASIM (Advanced Security Information Model).

Digital Guardian Data Loss Prevention

Effectuez les étapes suivantes pour configurer Digital Guardian pour transférer des journaux via Syslog :

1. Connectez-vous à la console de gestion Digital Guardian.
2. Sélectionnez Espace de travail>Exporter les données>Créer une exportation.
3. Dans la liste Sources de données, sélectionnez Alertes ou Événements comme source de données.
4. Dans la liste Type d’exportation, sélectionnez Syslog.
5. Dans la liste Type, sélectionnez UDP ou TCP comme protocole de transport.
6. Dans le champ Serveur , tapez l’adresse IP de votre serveur syslog distant.
7. Dans le champ Port , tapez 514 (ou un autre port si votre serveur syslog a été configuré pour utiliser un port non défini).
8. Dans la liste Niveau de gravité, sélectionnez un niveau de gravité.
9. Activez la case à cocher Est actif.
10. Cliquez sur Suivant.
11. Dans la liste des champs disponibles, ajoutez des champs Alerte ou Événement pour votre exportation de données.
12. Sélectionnez un critère pour les champs de votre exportation de données et Suivant.
13. Sélectionnez un groupe pour les critères et Suivant.
14. Sélectionnez Requête de test.
15. Cliquez sur Suivant.
16. Enregistrez l’exportation de données.

INTÉGRATION DE PROTECTION DE LA PROTECTION

Configurez ESET PROTECT pour envoyer tous les événements par Syslog.

1. Suivez ces instructions pour configurer la sortie syslog. Veillez à sélectionner BSD comme format, et TCP comme transport.
2. Suivez ces instructions pour exporter tous les journaux vers syslog. Sélectionnez JSON comme format de sortie.

Exabeam Advanced Analytics

Suivez ces instructions pour envoyer des données de journal d’activité Exabeam Advanced Analytics via Syslog.

Ce connecteur de données a été développé à l’aide d’Exabeam Advanced Analytics i54 (Syslog)

Forescout

Effectuez les étapes suivantes pour obtenir les journaux Forescout dans Microsoft Sentinel.

1. Sélectionnez une appliance à configurer.
2. Suivez ces instructions pour transférer des alertes depuis la plateforme Forescout vers un serveur Syslog.
3. Configurez les paramètres sous l’onglet Déclencheurs Syslog.

Ce connecteur de données a été développé à l’aide de la version du plug-in Forescout Syslog : v3.6

Gitlab

Suivez ces instructions pour envoyer les données du journal d’audit Gitlab via syslog.

ISC Bind

1. Suivez ces instructions pour configurer la liaison ISC pour transférer syslog : journaux DNS.
2. Configurez syslog pour envoyer le trafic syslog à l’agent. Utilisez l’adresse IP ou le nom d’hôte de l’appareil Linux avec l’agent Linux installé comme adresse IP de destination.

Infoblox Network Identity Operating System (NIOS)

Suivez ces instructions pour activer le transfert syslog des journaux Infoblox NIOS. Utilisez l’adresse IP ou le nom d’hôte de l’appareil Linux avec l’agent Linux installé comme adresse IP de destination.

Remarque

La fonctionnalité de ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto, qui fait partie intégrante de son opération. Cet analyseur est déployé dans le cadre de l’installation de la solution.

Pour accéder au code de fonction dans Log Analytics, accédez à la section Journaux Log Analytics/Microsoft Sentinel, sélectionnez Functions et recherchez l’alias Infoblox. Vous pouvez également charger directement le code de fonction. La mise à jour peut prendre environ 15 minutes après l’installation.

Cet analyseur nécessite une watchlist nommée Sources_by_SourceType.

i. Si vous n’avez pas encore créé de watchlist, créez une watchlist à partir de Microsoft Sentinel dans le Portail Azure.

ii. Ouvrez Watchlist Sources_by_SourceType et ajoutez des entrées pour cette source de données.

ii. La valeur SourceType pour InfobloxNIOS est InfobloxNIOS.

Pour plus d’informations, consultez les analyseurs ASIM (Advanced Security Information Model).

Ivanti Unified Endpoint Management

Suivez les instructions pour configurer des actions d’alerte pour envoyer des journaux au serveur Syslog.

Ce connecteur de données a été développé à l’aide d’Ivanti Unified Endpoint Management Release 2021.1 Version 11.0.3.374

Juniper SRX

1. Suivez les instructions suivantes pour configurer Juniper SRX pour transférer syslog :

   • Journaux de trafic (journaux de stratégie de sécurité)
   • Journaux système

2. Utilisez l’adresse IP ou le nom d’hôte de l’appareil Linux avec l’agent Linux installé comme adresse IP de destination.

McAfee Network Security Platform

Effectuez les étapes de configuration suivantes pour obtenir les journaux mcAfee® Network Security Platform dans Microsoft Sentinel.

1. Transférez les alertes du gestionnaire vers un serveur syslog.

2. Vous devez ajouter un profil de notification syslog. Lors de la création d’un profil, pour vous assurer que les événements sont correctement mis en forme, entrez le texte suivant dans la zone de texte Message :

   <SyslogAlertForwarderNSP>:|SENSOR_ALERT_UUID|ALERT_TYPE|ATTACK_TIME|ATTACK_NAME|ATTACK_ID |ATTACK_SEVERITY|ATTACK_SIGNATURE|ATTACK_CONFIDENCE|ADMIN_DOMAIN|SENSOR_NAME|INTERFACE |SOURCE_IP|SOURCE_PORT|DESTINATION_IP|DESTINATION_PORT|CATEGORY|SUB_CATEGORY |DIRECTION|RESULT_STATUS|DETECTION_MECHANISM|APPLICATION_PROTOCOL|NETWORK_PROTOCOL|

Ce connecteur de données a été développé à l’aide de McAfee® Network Security Platform version : 10.1.x.

McAfee ePolicy Orchestrator

Contactez le fournisseur pour obtenir des conseils sur l’inscription d’un serveur syslog.

Microsoft Sysmon pour Linux

Ce connecteur de données dépend d’analyseurs ASIM basés sur un Kusto Functions pour pouvoir fonctionner normalement. Déployez les analyseurs.

Les fonctions suivantes sont déployées :

• vimFileEventLinuxSysmonFileCreated, vimFileEventLinuxSysmonFileDeleted
• vimProcessCreateLinuxSysmon, vimProcessTerminateLinuxSysmon
• vimNetworkSessionLinuxSysmon

En savoir plus

Nasuni

Suivez les instructions du Guide de la console de gestion Nasuni pour configurer des appliances Edge Nasuni pour transférer des événements syslog. Utilisez l’adresse IP ou le nom d’hôte de l’appareil Linux exécutant l’agent Azure Monitor dans le champ Configuration des serveurs pour les paramètres syslog.

OpenVPN

Installez l’agent sur le serveur sur lequel les réseaux OpenVPN sont transférés. Les journaux du serveur OpenVPN sont écrits dans un fichier syslog commun (selon la distribution Linux utilisée : par exemple , /var/log/messages).

Audit Oracle Database

Terminez la procédure suivante.

1. Créez la base de données Oracle Suivez ces étapes.
2. Connectez-vous à la base de données Oracle que vous avez créée. Effectuez ces étapes.
3. Activez la journalisation unifiée sur Syslog en modifiant le système pour activer la journalisation unifiée En suivant ces étapes.
4. Créez et activez une stratégie d’audit pour l’audit unifié procédez comme suit.
5. Activation de syslog et de l’observateur d’événements Captures pour la piste d’audit unifiée Suivez ces étapes.

Pulse Connect Secure

Suivez les instructions pour activer la diffusion en continu Syslog des journaux Pulse Connect Secure. Utilisez l’adresse IP ou le nom d’hôte de l’appareil Linux avec l’agent Linux installé comme adresse IP de destination.

Remarque

La fonctionnalité de ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto, qui fait partie intégrante de son opération. Cet analyseur est déployé dans le cadre de l’installation de la solution.

Mettez à jour l’analyseur et spécifiez le nom d’hôte des machines sources qui transmettent les journaux dans la première ligne de l’analyseur.

Pour accéder au code de fonction dans Log Analytics, accédez à la section Journaux Log Analytics/Microsoft Sentinel, sélectionnez Functions et recherchez l’alias PulseConnectSecure. Vous pouvez également charger directement le code de fonction. La mise à jour peut prendre environ 15 minutes après l’installation.

RSA SecurID

Effectuez les étapes suivantes pour obtenir les journaux RSA® SecurID Authentication Manager dans Microsoft Sentinel. Suivez ces instructions pour transférer des alertes du Manager vers un serveur Syslog.

Remarque

La fonctionnalité de ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto, qui fait partie intégrante de son opération. Cet analyseur est déployé dans le cadre de l’installation de la solution.

Mettez à jour l’analyseur et spécifiez le nom d’hôte des machines sources qui transmettent les journaux dans la première ligne de l’analyseur.

Pour accéder au code de fonction dans Log Analytics, accédez à la section Journaux Log Analytics/Microsoft Sentinel, sélectionnez Functions et recherchez l’alias RSASecurIDAMEvent. Vous pouvez également charger directement le code de fonction. La mise à jour peut prendre environ 15 minutes après l’installation.

Ce connecteur de données a été développé à l’aide de RSA SecurID Authentication Manager version : 8.4 et 8.5

Sophos XG Firewall

Suivez ces instructions pour activer le streaming syslog. Utilisez l’adresse IP ou le nom d’hôte de l’appareil Linux avec l’agent Linux installé comme adresse IP de destination.

Remarque

La fonctionnalité de ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto, qui fait partie intégrante de son opération. Cet analyseur est déployé dans le cadre de l’installation de la solution.

Mettez à jour l’analyseur et spécifiez le nom d’hôte des machines sources qui transmettent les journaux dans la première ligne de l’analyseur. Pour accéder au code de fonction dans Log Analytics, accédez à la section Journaux Log Analytics/Microsoft Sentinel, sélectionnez Functions et recherchez l’alias SophosXGFirewall. Vous pouvez également charger directement le code de fonction. La mise à jour peut prendre environ 15 minutes après l’installation.

Symantec Endpoint Protection

Suivez ces instructions pour configurer Symantec Endpoint Protection pour transférer Syslog. Utilisez l’adresse IP ou le nom d’hôte de l’appareil Linux avec l’agent Linux installé comme adresse IP de destination.

Remarque

La fonctionnalité de ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto, qui fait partie intégrante de son opération. Cet analyseur est déployé dans le cadre de l’installation de la solution.

Mettez à jour l’analyseur et spécifiez le nom d’hôte des machines sources qui transmettent les journaux dans la première ligne de l’analyseur. Pour accéder au code de fonction dans Log Analytics, accédez à la section Journaux Log Analytics/Microsoft Sentinel, sélectionnez Functions et recherchez l’alias SymantecEndpointProtection. Vous pouvez également charger directement le code de fonction. La mise à jour peut prendre environ 15 minutes après l’installation.

Symantec ProxySG

1. Connectez-vous à la console de gestion Blue Coat.

2. Sélectionnez Formats de journalisation>de l’accès à la configuration.>

3. Cliquez sur Nouveau.

4. Entrez un nom unique dans le champ Format Name .

5. Sélectionnez la case d’option pour la chaîne de format personnalisé et collez la chaîne suivante dans le champ.

   1 $(date) $(time) $(time-taken) $(c-ip) $(cs-userdn) $(cs-auth-groups) $(x-exception-id) $(sc-filter-result) $(cs-categories) $(quot)$(cs(Referer))$(quot) $(sc-status) $(s-action) $(cs-method) $(quot)$(rs(Content-Type))$(quot) $(cs-uri-scheme) $(cs-host) $(cs-uri-port) $(cs-uri-path) $(cs-uri-query) $(cs-uri-extension) $(quot)$(cs(User-Agent))$(quot) $(s-ip) $(sr-bytes) $(rs-bytes) $(x-virus-id) $(x-bluecoat-application-name) $(x-bluecoat-application-operation) $(cs-uri-port) $(x-cs-client-ip-country) $(cs-threat-risk)

6. Cliquez sur OK.

7. Sélectionnez Appliquern.

8. Suivez ces instructions pour activer la diffusion en continu syslog des journaux Access . Utilisez l’adresse IP ou le nom d’hôte pour l’appareil Linux avec l’agent Linux installé comme adresse IP de destination

Remarque

La fonctionnalité de ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto, qui fait partie intégrante de son opération. Cet analyseur est déployé dans le cadre de l’installation de la solution.

Mettez à jour l’analyseur et spécifiez le nom d’hôte des machines sources qui transmettent les journaux dans la première ligne de l’analyseur.

Pour accéder au code de fonction dans Log Analytics, accédez à la section Journaux Log Analytics/Microsoft Sentinel, sélectionnez Functions et recherchez l’alias SymantecProxySG. Vous pouvez également charger directement le code de fonction. La mise à jour peut prendre environ 15 minutes après l’installation.

Symantec VIP

Suivez ces instructions pour configurer Symantec VIP Enterprise Gateway afin de transférer Syslog. Utilisez l’adresse IP ou le nom d’hôte de l’appareil Linux avec l’agent Linux installé comme adresse IP de destination.

Remarque

La fonctionnalité de ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto, qui fait partie intégrante de son opération. Cet analyseur est déployé dans le cadre de l’installation de la solution.

Mettez à jour l’analyseur et spécifiez le nom d’hôte des machines sources qui transmettent les journaux dans la première ligne de l’analyseur.

Pour accéder au code de fonction dans Log Analytics, accédez à la section Journaux Log Analytics/Microsoft Sentinel, sélectionnez Functions et recherchez l’alias SymantecVIP. Vous pouvez également charger directement le code de fonction. La mise à jour peut prendre environ 15 minutes après l’installation.

VMware ESXi

1. Suivez ces instructions afin de configurer le VMware ESXi pour transférer syslog :

   • VMware ESXi 3.5 et 4.x
   • VMware ESXi 5.0+

2. Utilisez l’adresse IP ou le nom d’hôte de l’appareil Linux avec l’agent Linux installé comme adresse IP de destination.

Remarque

La fonctionnalité de ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto, qui fait partie intégrante de son opération. Cet analyseur est déployé dans le cadre de l’installation de la solution.

Mettez à jour l’analyseur et spécifiez le nom d’hôte des machines sources qui transmettent les journaux dans la première ligne de l’analyseur.

Pour accéder au code de fonction dans Log Analytics, accédez à la section Journaux Log Analytics/Microsoft Sentinel, sélectionnez Functions et recherchez l’alias VMwareESXi. Vous pouvez également charger directement le code de fonction. La mise à jour peut prendre environ 15 minutes après l’installation.

WatchGuard Firebox

Suivez ces instructions pour envoyer les données du journal WatchGuard Firebox via syslog.

Contenu connexe

• Ingérer des messages syslog et CEF vers Microsoft Sentinel avec l’agent Azure Monitor
• Connecteurs Syslog via AMA et Common Event Format (CEF) via AMA pour Microsoft Sentinel