Introduction

  • 3 minutes

Vous envoyez des données de journal Syslog à l’espace de travail Microsoft Sentinel en utilisant une règle de collecte de données de l’agent Azure Monitor.

Vous êtes un analyste des opérations de sécurité travaillant dans une entreprise ayant mis en œuvre Microsoft Sentinel. Vous devez collecter des données de journal à partir d’appliances réseau locales. Les données des appliances réseau sont fournies dans un format non structuré.

Vous installez un hôte Linux sur site utilisé en tant que redirecteur pour envoyer les données du journal. Ensuite, vous suivez les instructions d’installation de l’agent Azure Connected Machine qui vous permet de gérer vos machines Linux (et Windows) hébergées en dehors d’Azure sur votre réseau d’entreprise avec Azure Arc. Une fois que vous avez vérifié la connectivité Azure Arc, vous pouvez installer l’extension de l’agent Linux Azure Monitor et, pendant ce processus, vous créez une règle de collecte de données Syslog Azure Monitor. La dernière étape consiste à configurer les appliances réseau pour transférer leurs journaux vers votre hôte Linux.

Les appliances réseau envoient désormais les journaux au nouvel hôte Linux, qui à son tour transfère les journaux à l’espace de travail Microsoft Sentinel via la règle de collecte de données de l’agent Azure Monitor. Dans Microsoft Sentinel, vous créez un analyseur en utilisant une fonction KQL pour faciliter l’interrogation des enregistrements de journal contenant les données de chaîne non structurées par l’équipe des opérations de sécurité.

À l’issue de ce module, vous pourrez :

  • Décrire la règle de collecte de données de l’agent Azure Monitor pour Syslog
  • Installer et configurer l’extension Agent Linux Azure Monitor avec la règle de collecte de données Syslog
  • Exécuter les scripts de déploiement et de connexion d’Azure Arc Linux
  • Vérifier que les données de journal Syslog sont disponibles dans Microsoft Sentinel
  • Créer un analyseur en utilisant KQL dans Microsoft Sentinel

Prérequis

  • Connaissance de base des concepts opérationnels comme la supervision, la journalisation et les alertes
  • Connaissance des opérations et de la supervision de Linux