CEF-formátumú naplók lekérése az eszközről vagy berendezésről a Microsoft Sentinelbe
Megjegyzés
Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel felhőbeli funkcióinak rendelkezésre állása az USA kormányzati ügyfelei számára című cikkben talál további információt.
Számos hálózati és biztonsági eszköz és berendezés elküldi a rendszernaplókat a Syslog protokollon keresztül a Common Event Format (CEF) néven ismert speciális formátumban. Ez a formátum több információt tartalmaz, mint a standard Syslog formátum, és az információkat egy elemzett kulcs-érték elrendezésben jeleníti meg. A Log Analytics-ügynök elfogadja a CEF-naplókat, és kifejezetten a Microsoft Sentinelhez való használatra formázja őket, mielőtt továbbküldené őket a Microsoft Sentinel-munkaterületre.
Megtudhatja, hogyan gyűjtheti össze a Syslogot az AMA-val, beleértve a Syslog konfigurálását és a DCR létrehozását.
Fontos
Közelgő változások:
- 2023. február 28-án bevezettük a CommonSecurityLog táblaséma módosításait.
- A módosítást követően előfordulhat, hogy át kell tekintenie és frissítenie kell az egyéni lekérdezéseket. További részletekért tekintse meg a blogbejegyzés ajánlott műveletek szakaszát . A Microsoft Sentinel frissítette a beépített tartalmakat (észleléseket, keresési lekérdezéseket, munkafüzeteket, elemzőket stb.).
- A módosítás előtt streamelt és betöltött adatok továbbra is elérhetők lesznek a korábbi oszlopaiban és formátumaiban. A régi oszlopok ezért megmaradnak a sémában.
- 2024. augusztus 31-énkivezetjük a Log Analytics-ügynököt. Ha a Log Analytics-ügynököt használja a Microsoft Sentinel üzemelő példányában, javasoljuk, hogy kezdje el megtervezni az AMA-ba való migrálást. Tekintse át a CEF és Syslog formátumú naplók Microsoft Sentinelbe való streamelésére vonatkozó lehetőségeket.
Ez a cikk azt ismerteti, hogyan lehet CEF-formátumú naplókat használni az adatforrások csatlakoztatásához. Az ezt a módszert használó adatösszekötőkről további információt a Microsoft Sentinel adatösszekötők referenciája című témakörben talál.
Ennek a kapcsolatnak két fő lépése van, amelyeket az alábbiakban részletesen ismertetünk:
Linux rendszerű gép vagy virtuális gép dedikált naplótovábbítóként való megtervezése, a Log Analytics-ügynök telepítése és az ügynök konfigurálása a naplók Microsoft Sentinel-munkaterületre való továbbítására. Az ügynök telepítését és konfigurációját egy üzembehelyezési szkript kezeli.
Az eszköz konfigurálása a naplók CEF formátumban való elküldésére egy Syslog-kiszolgálóra.
Megjegyzés
Az adatokat annak a munkaterületnek a földrajzi helyén tárolja a rendszer, amelyen a Microsoft Sentinelt futtatja.
Támogatott architektúrák
Az alábbi ábra az Azure-beli Linux rendszerű virtuális gépek beállítását ismerteti:
Másik lehetőségként a következő beállítást fogja használni, ha virtuális gépet használ egy másik felhőben vagy egy helyszíni gépen:
Előfeltételek
A CEF-adatok Log Analyticsbe való betöltéséhez Microsoft Sentinel-munkaterületre van szükség.
Olvasási és írási engedélyekkel kell rendelkeznie ezen a munkaterületen.
Olvasási engedéllyel kell rendelkeznie a munkaterület megosztott kulcsaihoz. További információ a munkaterületi kulcsokról.
Jelöljön ki egy naplótovábbítót, és telepítse a Log Analytics-ügynököt
Ez a szakasz azt ismerteti, hogyan jelölheti ki és konfigurálhatja azt a Linux rendszerű gépet, amely a naplókat az eszközről a Microsoft Sentinel-munkaterületre továbbítja.
A Linux-gép lehet egy fizikai vagy virtuális gép a helyszíni környezetben, egy Azure-beli virtuális gép vagy egy másik felhőben lévő virtuális gép.
A Common Event Format (CEF) adatösszekötő oldalán található hivatkozással szkriptet futtathat a kijelölt gépen, és végrehajthatja a következő feladatokat:
Telepíti a Linuxhoz készült Log Analytics-ügynököt (más néven OMS-ügynököt), és a következő célokra konfigurálja:
- CEF-üzenetek figyelése a beépített Linux Syslog démontól a 25226-os TCP-porton
- az üzenetek biztonságos küldése TLS-en keresztül a Microsoft Sentinel-munkaterületre, ahol az üzenetek elemzésre és bővítésre kerülnek
A beépített Linux Syslog-démont (rsyslog.d/syslog-ng) a következő célokra konfigurálja:
- az 514-ös TCP-porton lévő biztonsági megoldások syslog-üzeneteinek figyelésekor
- csak a CEF-ként azonosított üzenetek továbbítása a localhost log analytics-ügynökének a 25226-os TCP-port használatával
További információ: Naplótovábbító üzembe helyezése a Syslog- és CEF-naplók Microsoft Sentinelbe való betöltéséhez.
Biztonsági szempontok
Győződjön meg arról, hogy a gép biztonságát a szervezet biztonsági szabályzata szerint konfigurálja. Konfigurálhatja például a hálózatot úgy, hogy megfeleljen a vállalati hálózati biztonsági szabályzatnak, és módosítsa a démon portjait és protokolljait a követelményeknek megfelelően.
További információ: Virtuális gép védelme az Azure-ban és ajánlott eljárások a hálózati biztonsághoz.
Ha az eszközei Syslog- és CEF-naplókat küldenek TLS-en keresztül, például amikor a naplótovábbító a felhőben van, konfigurálnia kell a Syslog démont (rsyslog vagy syslog-ng) a TLS-ben való kommunikációhoz.
További információkért lásd:
- Syslog-forgalom titkosítása TLS használatával – rsyslog
- Naplóüzenetek titkosítása TLS használatával – syslog-ng
Az eszköz konfigurálása
Keresse meg és kövesse az eszköz gyártójának konfigurációs utasításait a naplók CEF formátumban történő SIEM-nek vagy naplókiszolgálóra való küldéséhez.
Ha a termék megjelenik az adatösszekötők gyűjteményében, segítségért tekintse meg a Microsoft Sentinel adatösszekötők referenciáját , ahol a konfigurációs utasításoknak tartalmazniuk kell a beállításokat az alábbi listában.
- Protokoll = TCP
- Port = 514
- Formátum = CEF
- IP-cím – győződjön meg arról, hogy a CEF-üzeneteket az erre a célra dedikált virtuális gép IP-címére küldi.
Ez a megoldás támogatja a Syslog RFC 3164-et vagy az RFC 5424-et.
Tipp
Szükség szerint adjon meg egy másik protokollt vagy portszámot az eszközén, feltéve, hogy ugyanazokat a módosításokat hajtja végre a naplótovábbító Syslog démonában is.
Az adatok megkeresése
A kapcsolat létrejötte után akár 20 percig is eltarthat, amíg az adatok megjelennek a Log Analyticsben.
Ha CEF-eseményeket szeretne keresni a Log Analyticsben, kérdezze le a CommonSecurityLog
táblát a lekérdezési ablakban.
Az adatösszekötők gyűjteményében felsorolt egyes termékek további elemzőket igényelnek a legjobb eredmény érdekében. Ezek az elemzők a Kusto-függvények használatával implementálódnak. További információért tekintse meg a termékhez tartozó szakaszt a Microsoft Sentinel adatösszekötők referenciaoldalán .
A termékek CEF-eseményeinek megkereséséhez írja be a Kusto függvény nevét lekérdezés tárgyaként a "CommonSecurityLog" helyett.
Hasznos mintalekérdezéseket, munkafüzeteket és elemzési szabálysablonokat találhat, amelyeket különösen a termékéhez készítettek a termék adatösszekötőjének Következő lépések lapján a Microsoft Sentinel portálon.
Ha nem lát adatokat, útmutatásért tekintse meg a CEF hibaelhárítási oldalát.
A TimeGenerated mező forrásának módosítása
Alapértelmezés szerint a Log Analytics-ügynök feltölti a séma TimeGenerated mezőjét azzal az idővel, amikor az ügynök megkapta az eseményt a Syslog démontól. Ennek eredményeképpen az esemény forrásrendszeren való létrehozásának időpontja nem lesz rögzítve a Microsoft Sentinelben.
Futtathatja azonban a következő parancsot, amely letölti és futtatja a TimeGenerated.py
szkriptet. Ez a szkript úgy konfigurálja a Log Analytics-ügynököt, hogy töltse fel a TimeGenerated mezőt az esemény eredeti idejével a forrásrendszerben, ahelyett, hogy az ügynök megkapta volna.
wget -O TimeGenerated.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/TimeGenerated.py && python TimeGenerated.py {ws_id}
Következő lépések
Ebben a dokumentumban megtanulta, hogyan gyűjti a Microsoft Sentinel a CEF-naplókat az eszközökről és berendezésekről. Ha többet szeretne megtudni a termék Microsoft Sentinelhez való csatlakoztatásáról, tekintse meg az alábbi cikkeket:
- Syslog/CEF-továbbító üzembe helyezése
- Microsoft Sentinel-adatösszekötők referenciája
- Naplótovábbító kapcsolatainak hibaelhárítása
A Microsoft Sentinelben gyűjtött adatokkal kapcsolatos további információkért tekintse meg az alábbi cikkeket:
- További információ a CEF-ről és a CommonSecurityLog mezőleképezésről.
- Megtudhatja, hogyan ismerheti meg az adatokat és a potenciális fenyegetéseket.
- Ismerkedés a fenyegetések Microsoft Sentinellel való észlelésével.