Déployer un redirecteur de journal pour ingérer des journaux Syslog et CEF dans Microsoft Sentinel

  • Article

Attention

Cet article fait référence à CentOS, une distribution Linux proche de l’état EOL (End Of Life). Faites le point sur votre utilisation afin de vous organiser en conséquence. Pour plus d’informations, consultez les conseils d’aide relatifs à la fin de vie de CentOS.

Pour ingérer des journaux Syslog et CEF dans Microsoft Sentinel, provenant en particulier d’appareils et d’appliances sur lesquels vous ne pouvez pas installer directement l’agent Log Analytics, vous devez désigner et configurer une machine Linux qui collecte les journaux de vos appareils et les transfère à votre espace de travail Microsoft Sentinel. Cet ordinateur peut être une machine physique ou virtuelle dans votre environnement local, une machine virtuelle Azure ou une machine virtuelle dans un autre cloud.

Cette machine inclut deux composants qui participent à ce processus :

  • Un démon Syslog, syslog ou syslog-ng, qui collecte les messages journaux.
  • L’agent Log Analytics (également appelé agent OMS) qui transfère les journaux vers Microsoft Sentinel.

À l’aide du lien ci-dessous, vous allez exécuter sur l’ordinateur désigné un script qui effectue les tâches suivantes :

  • Installe l’agent Log Analytics pour Linux (également appelé agent OMS) et le configure aux fins suivantes :

    • l’écoute des messages CEF à partir du démon Syslog Linux intégré sur le port TCP 25226
    • l’envoi sécurisé des messages via TLS à votre espace de travail Microsoft Sentinel, où ils sont analysés et enrichis

  • Configure le démon Syslog Linux intégré (rsyslog.d/syslog-ng) aux fins suivantes :

    • l’écoute des messages Syslog de vos solutions de sécurité sur le port TCP 514
    • le transfert des seuls messages qu’il identifie comme CEF à l’agent Log Analytics sur localhost à l’aide du port TCP 25226

Important

L’agent Log Analytics sera mis hors service le 31 août 2024. Si vous utilisez l’agent Log Analytics dans votre déploiement Microsoft Sentinel, nous vous recommandons de commencer à planifier votre migration vers l’agent Azure Monitor (AMA). Pour plus d’informations, consultez Migration AMA pour Microsoft Sentinel.

Pour plus d’informations sur le déploiement des journaux Syslog et/ou CEF avec l’agent Azure Monitor, passez en revue les options de diffusion en continu des journaux au format CEF et Syslog vers Microsoft Sentinel.

Prérequis

Chaque connecteur de données a son propre ensemble de prérequis. Parmi les prérequis figure la nécessité de disposer d’autorisations spécifiques sur votre espace de travail, votre abonnement ou votre stratégie. Ou, de répondre à d’autres exigences liées à la source de données partenaire à laquelle vous vous connectez.

Les prérequis de chaque connecteur de données sont listés sur la page du connecteur de données approprié dans Microsoft Sentinel.

Installez la solution du produit à partir du hub de contenu dans Microsoft Sentinel. Si le produit n’est pas répertorié, installez la solution pour le Common Event Format. Pour plus d’informations, consultez Découvrir et gérer le contenu Microsoft Sentinel prêt à l’emploi.

Important

Les versions du système d’exploitation peuvent avoir des dates de prise en charge et des cycles de vie différents. Nous vous recommandons de vérifier la documentation officielle de chaque distribution pour obtenir le support et les dates de fin de vie les plus précis et actualisés.

Votre machine doit répondre aux exigences suivantes :

  • Matériel (physique/virtuel)

    • Votre machine Linux doit avoir un minimum de 4 cœurs de processeur et 8 Go de RAM.

      Notes

      • Un ordinateur redirecteur de journal ayant la configuration matérielle ci-dessus et utilisant le démon rsyslog a une capacité prise en charge qui peut atteindre 8 500 événements par seconde (EPS) collectés.

  • Système d’exploitation

    • CentOS 7 et 8 (par 6), y compris les versions mineures (64 bits/32 bits)
    • Amazon Linux 2 (64 bits uniquement)
    • Oracle Linux 7, 8 (64 bits/32 bits)
    • Red Hat Enterprise Linux (RHEL) Server 7 et 8 (pas 6), y compris les versions mineures (64 bits/32 bits)
    • Debian GNU/Linux 8 et 9 (64 bits/32 bits)
    • Ubuntu Linux 20.04 LTS (64 bits uniquement)
    • SuSE Linux Enterprise Server 12, 15 (uniquement 64 bits)

  • Versions du démon

    • Rsyslog : v8
    • Syslog-ng : 2.1 - 3.22.1

  • Packages

    • Python 2.7 ou 3 doit être installé sur la machine Linux.
      Utilisez la commande python --version ou python3 --version pour vérifier.
    • Vous devez disposer du package Wget GNU.

  • Prise en charge de RFC Syslog

    • RFC Syslog 3164
    • RFC Syslog 5424

  • Configuration

    • Vous devez disposer d’autorisations élevées (sudo) sur votre machine Linux désignée.
    • La machine Linux ne doit être connectée à aucun espace de travail Azure avant l’installation de l’agent Log Analytics.

  • Données

    • Il se peut que vous ayez besoin de l’ID d’espace de travail de l’espace de travail Microsoft Sentinel, ainsi que de la clé primaire d’espace de travail à un moment donné au cours de ce processus. Vous pouvez les trouver dans les paramètres de l’espace de travail, sous Gestion des agents.

Considérations relatives à la sécurité

Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organisation. Par exemple, vous pouvez configurer votre réseau de sorte qu’il s’accorde à la stratégie de sécurité de votre réseau d’entreprise, et modifier les ports et les protocoles dans le démon pour les adapter à vos besoins. Vous pouvez utiliser les instructions suivantes pour améliorer la configuration de la sécurité de votre machine :Sécurisation de la machine virtuelle dans Azure, Bonnes pratiques pour la sécurité réseau.

Si vos appareils envoient des journaux Syslog et CEF sur TLS (par exemple, parce que votre redirecteur de journal se trouve dans le cloud), vous devez configurer le démon Syslog (rsyslog ou syslog-ng) pour qu’il communique dans TLS. Pour plus de détails, consultez la documentation suivante :

Exécuter le script de déploiement

  1. Sélectionnez Connecteurs de données dans Microsoft Sentinel.

  2. Sélectionnez le connecteur de votre produit dans la galerie de connecteurs. Si votre produit n’est pas répertorié, sélectionnez Common Event Format (CEF).

  3. Dans ce volet d’informations pour le connecteur, sélectionnez Ouvrir la page du connecteur.

  4. Sur la page du connecteur, dans les instructions sous 1.2 Installer le collecteur CEF sur la machine Linux, copiez le lien fourni sous Exécuter le script suivant pour installer et appliquer le collecteur CEF.
    Si vous n’avez pas accès à cette page, copiez le lien à partir du texte ci-dessous (copie et collage de l’ID d’espace de travail et la Clé primaire ci-dessus à la place des espaces réservés) :

    sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [WorkspaceID] [Workspace Primary Key]

  5. Collez le lien ou le texte dans la ligne de commande de votre redirecteur de journal, puis exécutez-le.

  6. Pendant l’exécution du script, vérifiez que vous ne recevez pas de messages d’erreur ou d’avertissement.

    • Vous pouvez recevoir un message vous indiquant d’exécuter une commande pour corriger un problème avec le mappage du champ Ordinateur. Pour plus d’informations, consultez l’explication dans le script de déploiement.

  7. Configurer votre appareil pour envoyer des messages CEF.

    Notes

    Utilisation du même ordinateur pour transférer à la fois des messages Syslog et des messages CEF

    Si vous envisagez d’utiliser cette machine de transfert de journaux pour transférer des messages Syslog ainsi que des messages CEF, afin d’éviter la duplication des événements dans les tables Syslog et CommonSecurityLog :

    1. Sur chaque machine source qui envoie des journaux au redirecteur au format CEF, vous devez modifier le fichier config Syslog pour supprimer les fonctionnalités utilisées pour envoyer des messages CEF. De cette façon, les fonctionnalités envoyées en CEF ne sont pas aussi envoyées au format Syslog. Pour obtenir des instructions détaillées sur la procédure à suivre, consultez Configurer Syslog sur l’agent Linux.

    2. Vous devez exécuter la commande suivante sur ces machines pour désactiver la synchronisation de l’agent avec la configuration Syslog dans Microsoft Sentinel. Cela permet de s’assurer que la modification de configuration que vous avez apportée à l’étape précédente n’est pas remplacée.
      sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'

Explication du script de déploiement

Voici une description commande par commande des actions du script de déploiement.

Choisissez un démon Syslog pour afficher la description appropriée.

  1. Téléchargement et installation de l’agent Log Analytics :

    • Télécharge le script d’installation pour l’agent Linux Log Analytics (OMS).

      wget -O onboard_agent.sh https://raw.githubusercontent.com/Microsoft/OMS-Agent-for-Linux/
    master/installer/scripts/onboard_agent.sh

    • Installe l’agent Log Analytics/

      sh onboard_agent.sh -w [workspaceID] -s [Primary Key] -d opinsights.azure.com

  2. Paramétrage de la configuration de l’agent Log Analytics pour écouter sur le port 25226 et transférer les messages CEF vers Microsoft Sentinel :

    • Télécharge la configuration à partir du dépôt GitHub de l’agent Log Analytics.

      wget -O /etc/opt/microsoft/omsagent/[workspaceID]/conf/omsagent.d/security_events.conf
    https://raw.githubusercontent.com/microsoft/OMS-Agent-for-Linux/master/installer/conf/
    omsagent.d/security_events.conf

  3. Configuration du démon Syslog :

    • Ouvre le port 514 pour la communication TCP à l’aide du fichier config Syslog /etc/rsyslog.conf.

    • Configure le démon pour transférer les messages CEF à l’agent Log Analytics sur le port TCP 25226, en insérant un fichier config spécial security-config-omsagent.conf dans le répertoire Syslog /etc/rsyslog.d/ du démon.

      Contenu du fichier security-config-omsagent.conf :

      if $rawmsg contains "CEF:" or $rawmsg contains "ASA-" then @@127.0.0.1:25226

  4. Redémarrage du démon Syslog et de l’agent Log Analytics :

    • Redémarre le démon rsyslog.

      service rsyslog restart

    • Redémarre l’agent Log Analytics.

      /opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  5. Vérification du mappage du champ Ordinateur :

    • Vérifie que le champ Ordinateur de la source syslog est correctement mappé dans l’agent Log Analytics en utilisant la commande suivante :

      grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb

    • En cas de problème avec le mappage, le script génère un message d’erreur qui vous indique d’exécuter manuellement la commande suivante (en appliquant l’ID de l’espace de travail au lieu de l’espace réservé). La commande va garantir le mappage correct et redémarrer l’agent.

      sudo sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]

Étapes suivantes

Dans ce document, vous avez appris à déployer l’agent Log Analytics pour connecter des appliances CEF à Microsoft Sentinel. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :