Syslog- és CEF-üzenetek betöltése a Microsoft Sentinelbe az Azure Monitor-ügynökkel

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Ez a cikk azt ismerteti, hogyan használható a Syslog az AMA és a Common Event Format (CEF) segítségével az AMA-összekötőken keresztül a syslog-üzenetek gyors szűrésére és betöltésére, beleértve a Common Event Format (CEF) típusú üzeneteket Linux-gépekről, valamint hálózati és biztonsági eszközökről és berendezésekről. Ezekről az adatösszekötőkről további információt a Syslog és a Common Event Format (CEF) a Microsoft Sentinel AMA-összekötőin keresztül talál.

Feljegyzés

A Container Insights mostantól támogatja az AKS-fürtök Linux-csomópontjairól származó Syslog-események automatikus gyűjtését. További információ: Syslog-gyűjtemény a Container Insights használatával.

Előfeltételek

A kezdés előtt konfigurálnia kell az erőforrásokat és a megfelelő engedélyeket az ebben a szakaszban leírtak szerint.

A Microsoft Sentinel előfeltételei

Telepítse a megfelelő Microsoft Sentinel-megoldást, és győződjön meg arról, hogy rendelkezik a jelen cikkben ismertetett lépések végrehajtásához szükséges engedélyekkel.

• Telepítse a megfelelő megoldást a Microsoft Sentinel content hubjáról . További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.

• Azonosítsa, hogy a Microsoft Sentinel-megoldás milyen adatösszekötőt igényel – Syslog az AMA-n vagy a Common Event Formaton (CEF) keresztül az AMA-n keresztül, és hogy telepítenie kell-e a Syslog vagy a Common Event Format megoldást. Ennek az előfeltételnek a teljesítéséhez

  • A Tartalomközpontban válassza a Telepített megoldás kezelése lehetőséget, és tekintse át a felsorolt adatösszekötőt.

  • Ha az AMA-n vagy a Common Event Formaton (CEF) keresztüli Syslog nincs telepítve a megoldással, az alábbi cikkek egyikéből megtudhatja, hogy telepítenie kell-e a Syslog vagy a Common Event Format megoldást:

    • CEF az AMA-adatösszekötőn keresztül – Adott berendezés vagy eszköz konfigurálása a Microsoft Sentinel-adatbetöltéshez
    • Syslog az AMA-adatösszekötőn keresztül – Adott berendezés vagy eszköz konfigurálása a Microsoft Sentinel-adatok betöltéséhez

    Ezután telepítse a Syslog vagy a Common Event Format megoldást a tartalomközpontból a kapcsolódó AMA-adatösszekötő beszerzéséhez.

• Rendelkezik azure-fiókkal az alábbi Azure-szerepköralapú hozzáférés-vezérlési (Azure RBAC-) szerepkörökkel:

  Beépített szerepkör	Hatókör	Ok
  - Virtuális gépek közreműködője - Azure Csatlakoztatott gép    Erőforrás-rendszergazda	Virtuális gépek (VM) Virtual Machine Scale Sets Azure Arc-kompatibilis kiszolgálók	Az ügynök üzembe helyezése
  Minden olyan szerepkör, amely tartalmazza a műveletet Microsoft.Resources/deployments/*	Előfizetés Erőforráscsoport Meglévő adatgyűjtési szabály	Azure Resource Manager-sablonok üzembe helyezése
  Figyelési közreműködő	Előfizetés Erőforráscsoport Meglévő adatgyűjtési szabály	Adatgyűjtési szabályok létrehozása vagy szerkesztése

A naplótovábbító előfeltételei

Ha egy naplótovábbítótól gyűjt üzeneteket, az alábbi előfeltételek érvényesek:

• A naplók gyűjtéséhez rendelkeznie kell egy kijelölt Linux rendszerű virtuális géppel, mint naplótovábbítóval.

  • Linux rendszerű virtuális gép létrehozása az Azure Portalon.
  • Támogatott Linux operációs rendszerek az Azure Monitor Agenthez.

• Ha a naplótovábbító nem Azure-beli virtuális gép, akkor az Azure Arc Connected Machine-ügynököt kell telepíteni.

• A Linux-naplótovábbító virtuális gépnek telepítve kell lennie a Python 2.7-nek vagy 3-nak. Az ellenőrzéshez használja a python --version vagy python3 --version a parancsot. Ha Python 3-at használ, győződjön meg arról, hogy a gép alapértelmezett parancsaként van beállítva, vagy a python helyett a "python3" paranccsal futtathat szkripteket.

• A naplótovábbítónak engedélyeznie kell a démont vagy rsyslog a syslog-ng démont.

• A naplótovábbító helykövetelményeiért tekintse meg az Azure Monitor-ügynök teljesítménymutatóját. Ezt a blogbejegyzést is áttekintheti, amely skálázható betöltési terveket is tartalmaz.

• A naplóforrásokat, biztonsági eszközöket és berendezéseket úgy kell konfigurálni, hogy a naplóüzeneteiket a naplótovábbító syslog démonjának küldjék el a helyi syslog démon helyett.

Gépbiztonsági előfeltételek

Konfigurálja a gép biztonságát a szervezet biztonsági szabályzatának megfelelően. Konfigurálja például a hálózatot úgy, hogy megfeleljen a vállalati hálózati biztonsági szabályzatnak, és módosítsa a démon portjait és protokolljait a követelményeknek megfelelően. A gép biztonsági konfigurációjának javítása érdekében biztonságossá teheti a virtuális gépet az Azure-ban, vagy áttekintheti a hálózati biztonságra vonatkozó ajánlott eljárásokat.

Ha az eszközei syslog- és CEF-naplókat küldenek a TLS-en keresztül, mert például a naplótovábbító a felhőben van, konfigurálnia kell a syslog démont (rsyslog vagy syslog-ng) a TLS-ben való kommunikációhoz. További információk:

• Syslog-forgalom titkosítása TLS használatával – rsyslog
• Naplóüzenetek titkosítása TLS használatával – syslog-ng

Az adatösszekötő konfigurálása

A Syslog AMA vagy Common Event Format (CEF) AMA-adatösszekötőken keresztüli beállítási folyamata a következő lépéseket tartalmazza:

1. Telepítse az Azure Monitor-ügynököt, és hozzon létre egy adatgyűjtési szabályt (DCR) az alábbi módszerek valamelyikével:
   • Azure vagy Defender portál
   • Azure Monitor Logs Ingestion API
2. Ha naplókat gyűjt más gépekről egy naplótovábbító használatával, futtassa a "telepítési" szkriptet a naplótovábbítón, hogy konfigurálja a syslog démont a többi gép üzeneteinek figyeléséhez, és nyissa meg a szükséges helyi portokat.

Válassza ki a megfelelő lapot az utasításokhoz.

Azure vagy Defender portál

Adatgyűjtési szabály (DCR) létrehozása

Első lépésként nyissa meg a Syslogot az AMA vagy a Common Event Format (CEF) segítségével a Microsoft Sentinel AMA-adatösszekötőjével, és hozzon létre egy adatgyűjtési szabályt (DCR).

1. Az Azure PortalOn a Microsoft Sentinel esetében a Konfiguráció területen válassza az Adatösszekötők lehetőséget.
   A Microsoft Sentinel esetében a Defender portálon válassza a Microsoft Sentinel>konfigurációs>adatösszekötőket.

2. Syslog esetén írja be a Syslog kifejezést a Keresőmezőbe . Az eredmények közül válassza ki a Syslogot az AMA-összekötőn keresztül.
   CEF esetén írja be a CEF kifejezést a Keresőmezőbe . Az eredmények közül válassza ki a Common Event Format (CEF) formátumot az AMA-összekötőn keresztül.

3. Válassza az Összekötő megnyitása lapot a részletek panelen.

4. A Konfiguráció területen válassza a +Adatgyűjtési szabály létrehozása lehetőséget.

   

   

5. Az Alapszintű lapon:

   • Adjon meg egy DCR-nevet.
   • Válassza ki előfizetését.
   • Válassza ki azt az erőforráscsoportot, amelyben meg szeretné keresni a DCR-t.

   

6. Válassza a Következő: Erőforrások >lehetőséget.

Virtuálisgép-erőforrások definiálása

Az Erőforrások lapon válassza ki azokat a gépeket, amelyekre telepíteni szeretné az AMA-t – ebben az esetben a naplótovábbító gépet. Ha a naplótovábbító nem jelenik meg a listában, lehet, hogy nincs telepítve az Azure Connected Machine-ügynök.

1. A naplótovábbító virtuális gép megkereséséhez használja a rendelkezésre álló szűrőket vagy keresőmezőket. Bontsa ki az előfizetést a listában az erőforráscsoportok megtekintéséhez, és egy erőforráscsoportot a virtuális gépek megtekintéséhez.

2. Válassza ki azt a naplótovábbító virtuális gépet, amelyen telepíteni szeretné az AMA-t. A jelölőnégyzet a virtuális gép neve mellett jelenik meg, amikor rámutat rá.

   

3. Tekintse át a módosításokat, és válassza a Tovább: Gyűjtés >lehetőséget.

Létesítmények és súlyosságok kiválasztása

Vegye figyelembe, hogy ha ugyanazt a létesítményt használja a syslog és a CEF-üzenetek esetében is, az adatbetöltés duplikálását eredményezheti. További információ: Adatbetöltési duplikációk elkerülése.

1. A Gyűjtemény lapon válassza ki az egyes létesítmények minimális naplószintét. Amikor kiválaszt egy naplószintet, a Microsoft Sentinel összegyűjti a naplókat a kiválasztott szinthez és a magasabb súlyosságú egyéb szintekhez. Ha például LOG_ERR választ, a Microsoft Sentinel naplókat gyűjt a LOG_ERR, LOG_CRIT, LOG_ALERT és LOG_EMERG szintekről.

   

2. Tekintse át a kijelölt elemeket, és válassza a Tovább: Áttekintés + létrehozás lehetőséget.

A szabály áttekintése és létrehozása

Miután elvégezte az összes lapot, tekintse át a beírt adatokat, és hozza létre az adatgyűjtési szabályt.

1. A Véleményezés és létrehozás lapon válassza a Létrehozás lehetőséget.

   

   Az összekötő telepíti az Azure Monitor-ügynököt a DCR létrehozásakor kiválasztott gépekre.

2. Ellenőrizze az Azure Portalon vagy a Microsoft Defender portálon található értesítéseket, hogy lássa, mikor jön létre a DCR, és az ügynök telepítve van.

3. Válassza a Frissítés lehetőséget az összekötő oldalán a DCR megjelenítéséhez a listában.

Logs Ingestion API

Az Azure Monitor-ügynök telepítése

Kövesse az Azure Monitor dokumentációjának megfelelő utasításait az Azure Monitor-ügynök a naplótovábbítóra való telepítéséhez. Ne felejtse el használni a Linuxra vonatkozó utasításokat, nem Windows esetén.

• Az AMA telepítése a PowerShell használatával
• Az AMA telepítése az Azure CLI használatával
• Az AMA telepítése Azure Resource Manager-sablonnal

Adatgyűjtési szabályokat (DCR-eket) az Azure Monitor Logs Ingestion API használatával hozhat létre. További információ: Adatgyűjtési szabályok az Azure Monitorban.

Az adatgyűjtési szabály létrehozása

Hozzon létre egy JSON-fájlt az adatgyűjtési szabályhoz, hozzon létre egy API-kérést, és küldje el a kérést.

1. Készítsen elő egy DCR-fájlt JSON formátumban. A fájl tartalma az API-kérés kérelemtörzse.

   Példa: Syslog/CEF DCR létrehozási kérelem törzse. Ha ugyanabban az adatgyűjtési szabályban szeretné összegyűjteni a syslog- és CEF-üzeneteket, tekintse meg a Syslog és a CEF-streameket ugyanabban a DCR-ben.

   • Ellenőrizze, hogy a streams mező syslog-üzenetekre vagy CEF-üzenetekre Microsoft-CommonSecurityLog van-e beállítvaMicrosoft-Syslog.
   • Adja hozzá a szűrő- és létesítménynapló-szinteket a facilityNames paraméterekhez.logLevels Példák a létesítményekre és a naplószintekre.

2. Hozzon létre egy API-kérést egy ön által választott REST API-ügyfélben.

   1. A kérelem URL-címéhez és fejlécéhez másolja a következő kérés URL-címét és fejlécét.

      PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2022-06-01
      

      • Cserélje le a megfelelő értékeket a helyőrzőkre és {resourceGroupName} a {subscriptionId} helyőrzőkre.
      • A helyőrző helyett {dataCollectionRuleName} adja meg a DCR által választott nevet.

   2. A kérelem törzséhez másolja és illessze be a létrehozott DCR JSON-fájl tartalmát (a fenti 1. lépésben) a kérelem törzsébe.

3. Küldje el a kérést.

   Példa a kapott válaszra: Syslog/CEF DCR létrehozási válasz.

A DCR társítása a naplótovábbítóval

Most létre kell hoznia egy DCR-társítót (DCRA), amely a DCR-t a naplótovábbítót üzemeltető virtuálisgép-erőforráshoz csatlakoztatja.

1. Hozzon létre egy API-kérést egy ön által választott REST API-ügyfélben.

2. A kérelem URL-címéhez és fejlécéhez másolja a következő kérelem URL-címét és a fejlécet.

   PUT 
   https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{virtualMachineName}/providers/Microsoft.Insights/dataCollectionRuleAssociations/{dataCollectionRuleAssociationName}?api-version=2022-06-01
   

   • Cserélje le a megfelelő értékeket a {subscriptionId}, {resourceGroupName}és {virtualMachineName} a helyőrzőkre.
   • A helyőrző helyett {dataCollectionRuleAssociationName} adja meg a DCR által választott nevet.

3. A kérelem törzséhez másolja a következő kérelemtörzset.

   {
     "properties": {
       "dataCollectionRuleId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}"
     }
   }
   

   • Cserélje le a megfelelő értékeket a helyőrzőkre és {resourceGroupName} a {subscriptionId} helyőrzőkre.
   • A helyőrző helyett {dataCollectionRuleName} adja meg a DCR által választott nevet.

4. Küldje el a kérést.

Példák létesítményekre és naplószintekre

Tekintse át ezeket a példákat a létesítményekre és a naplószint-beállításokra. A name mező tartalmazza a szűrő nevét.

A CEF-üzenetek betöltéséhez a következő értéknek "streams" kell lennie "Microsoft-CommonSecurityLog" "Microsoft-Syslog": .

Ez a példa a cron, , daemon, local3 local0és uucp létesítmények eseményeit gyűjti össze a Warning, Error, , AlertCritical, és Emergency naplószintekkel:

    "dataSources": {
      "syslog": [
        {
        "name": "SyslogStream0",
        "streams": [
          "Microsoft-Syslog"
        ],
        "facilityNames": [ 
          "cron",
          "daemon",
          "local0",
          "local3", 
          "uucp"
        ],
        "logLevels": [ 
          "Warning", 
          "Error", 
          "Critical", 
          "Alert", 
          "Emergency"
        ]
      }
    ]
  }

Syslog- és CEF-streamek ugyanabban a DCR-ben

Ez a példa bemutatja, hogyan gyűjthet syslog- és CEF-üzeneteket ugyanabban a DCR-ben.

A DCR a következő CEF-eseményüzeneteket gyűjti:

• mark A authpriv , , Notice, Warning, ErrorCritical, Alertés Emergency naplószinttel rendelkező létesítmények Info
• A daemon létesítmény a Warning, Error, Critical, Alert, és Emergency naplószinttel

Syslog-eseményüzeneteket gyűjt a következőhöz:

• A kern, local0, local5, és news létesítmények a Critical, Alertés Emergency naplószintekkel
• A mail naplószinttel rendelkező Emergency létesítmények és uucp létesítmények

    "dataSources": {
      "syslog": [
        {
          "name": "CEFStream1",
          "streams": [ 
            "Microsoft-CommonSecurityLog"
          ],
          "facilityNames": [ 
            "authpriv", 
            "mark"
          ],
          "logLevels": [
            "Info",
            "Notice", 
            "Warning", 
            "Error", 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "CEFStream2",
          "streams": [ 
            "Microsoft-CommonSecurityLog"
          ],
          "facilityNames": [ 
            "daemon"
          ],
          "logLevels": [ 
            "Warning", 
            "Error", 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "SyslogStream3",
          "streams": [ 
            "Microsoft-Syslog"
          ],
          "facilityNames": [ 
            "kern",
            "local0",
            "local5", 
            "news"
          ],
          "logLevels": [ 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "SyslogStream4",
          "streams": [ 
            "Microsoft-Syslog"
          ],
          "facilityNames": [ 
            "mail",
            "uucp"
          ],
          "logLevels": [ 
            "Emergency"
          ]
        }
      ]
    }

Futtassa a "telepítési" szkriptet

Ha naplótovábbítót használ, konfigurálja a syslog démont a más gépekről érkező üzenetek figyelésére, és nyissa meg a szükséges helyi portokat.

1. Az összekötő oldaláról másolja ki a következő parancs futtatásával megjelenő parancssort a CEF-gyűjtő telepítéséhez és alkalmazásához:

   

   Vagy másolja innen:

   sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python Forwarder_AMA_installer.py
   

2. Jelentkezzen be a naplótovábbító gépre, ahol most telepítette az AMA-t.

3. Illessze be az utolsó lépésben másolt parancsot a telepítési szkript elindításához.
   A szkript konfigurálja a rsyslog syslog-ng démont a szükséges protokoll használatára, és újraindítja a démont. A szkript megnyitja az 514-ös portot, hogy az UDP- és TCP-protokollokban is figyelje a bejövő üzeneteket. A beállítás módosításához tekintse meg a syslog démon konfigurációs fájlját a számítógépen futó démontípusnak megfelelően:

   • Rsyslog: /etc/rsyslog.conf
   • Syslog-ng: /etc/syslog-ng/syslog-ng.conf

   Ha Python 3-at használ, és nincs beállítva alapértelmezett parancsként a gépen, helyettesítse python3 python a beillesztett parancsot. Lásd a naplótovábbító előfeltételeit.

   Feljegyzés

   A teljes lemezes forgatókönyvek elkerülése érdekében, ha az ügynök nem tud működni, javasoljuk, hogy állítsa be a syslog-ng rsyslog konfigurációt a szükségtelen naplók tárolására. A teljes lemezes forgatókönyv megzavarja a telepített AMA működését. További információ: RSyslog vagy Syslog-ng.

A biztonsági eszköz vagy berendezés konfigurálása

A biztonsági eszköz vagy berendezés konfigurálására vonatkozó konkrét utasításokat az alábbi cikkek egyikében találja:

• CEF az AMA-adatösszekötőn keresztül – Adott berendezések és eszközök konfigurálása a Microsoft Sentinel-adatok betöltéséhez
• Syslog az AMA-adatösszekötőn keresztül – Adott berendezések és eszközök konfigurálása a Microsoft Sentinel-adatok betöltéséhez

További információért forduljon a megoldásszolgáltatóhoz, vagy ha az információ nem érhető el a berendezéshez vagy az eszközhöz.

Az összekötő tesztelése

Ellenőrizze, hogy a linuxos gépről vagy a biztonsági eszközökről és berendezésekről érkező üzenetek be vannak-e osztva a Microsoft Sentinelbe.

1. Annak ellenőrzéséhez, hogy a syslog démon fut-e az UDP-porton, és hogy az AMA figyel-e, futtassa a következő parancsot:

   netstat -lnptv
   

   Az 514-ös porton látnia kell a rsyslog démont syslog-ng vagy a démont.

2. A naplózótól vagy csatlakoztatott eszközről küldött üzenetek rögzítéséhez futtassa ezt a parancsot a háttérben:

   tcpdump -i any port 514 -A -vv &
   

3. Az ellenőrzés befejezése után javasoljuk, hogy állítsa le a következőt: Írja be, majd válassza a tcpdumpCtrl C billentyűkombinációt+.fg

4. Bemutatóüzenetek küldéséhez hajtsa végre az alábbi lépéseket:

   • Használja a netcat segédprogramot. Ebben a példában a segédprogram beolvassa a echo parancson keresztül közzétett adatokat, és az új vonalkapcsoló ki van kapcsolva. A segédprogram ezután időtúllépés nélkül írja az adatokat a localhost UDP-portjára 514 . A netcat segédprogram futtatásához előfordulhat, hogy egy másik csomagot kell telepítenie.

     echo -n "<164>CEF:0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time" | nc -u -w0 localhost 514
     

   • Használja a naplózót. Ez a példa az üzenetet a local 4 létesítménynek írja súlyossági szinten Warning, a porton 514, a helyi gazdagépen, CEF RFC formátumban. A -t jelzők a --rfc3164 várt RFC-formátumnak való megfelelésre szolgálnak.

     logger -p local4.warn -P 514 -n 127.0.0.1 --rfc3164 -t CEF "0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time"
     

5. Az összekötő megfelelő telepítésének ellenőrzéséhez futtassa a hibaelhárítási szkriptet az alábbi parancsok egyikével:

   • CEF-naplók esetén futtassa a következőt:

      sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --cef
     

   • A Cisco Adaptive Security Appliance (ASA) naplóihoz futtassa a következőt:

     sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --asa
     

   • A Cisco Firepower Threat Defense (FTD) naplóihoz futtassa a következőt:

     sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --ftd
     

Kapcsolódó tartalom

• Syslog és Common Event Format (CEF) a Microsoft Sentinel AMA-összekötőivel
• Adatgyűjtési szabályok az Azure Monitorban
• CEF az AMA-adatösszekötőn keresztül – Adott berendezés vagy eszköz konfigurálása a Microsoft Sentinel-adatbetöltéshez
• Syslog az AMA-adatösszekötőn keresztül – Adott berendezés vagy eszköz konfigurálása a Microsoft Sentinel-adatbetöltéshez