Megosztás a következőn keresztül:


Syslog- és CEF-üzenetek betöltése a Microsoft Sentinelbe az Azure Monitor-ügynökkel

Ez a cikk azt ismerteti, hogyan használható a Syslog az AMA és a Common Event Format (CEF) segítségével az AMA-összekötőken keresztül a syslog-üzenetek gyors szűrésére és betöltésére, beleértve a Common Event Format (CEF) típusú üzeneteket Linux-gépekről, valamint hálózati és biztonsági eszközökről és berendezésekről. Ezekről az adatösszekötőkről további információt a Syslog és a Common Event Format (CEF) a Microsoft Sentinel AMA-összekötőin keresztül talál.

Feljegyzés

A Container Insights mostantól támogatja az AKS-fürtök Linux-csomópontjairól származó Syslog-események automatikus gyűjtését. További információ: Syslog-gyűjtemény a Container Insights használatával.

Előfeltételek

A kezdés előtt konfigurálnia kell az erőforrásokat és a megfelelő engedélyeket az ebben a szakaszban leírtak szerint.

A Microsoft Sentinel előfeltételei

Telepítse a megfelelő Microsoft Sentinel-megoldást, és győződjön meg arról, hogy rendelkezik a jelen cikkben ismertetett lépések végrehajtásához szükséges engedélyekkel.

A naplótovábbító előfeltételei

Ha egy naplótovábbítótól gyűjt üzeneteket, az alábbi előfeltételek érvényesek:

  • A naplók gyűjtéséhez rendelkeznie kell egy kijelölt Linux rendszerű virtuális géppel, mint naplótovábbítóval.

  • Ha a naplótovábbító nem Azure-beli virtuális gép, akkor az Azure Arc Connected Machine-ügynököt kell telepíteni.

  • A Linux-naplótovábbító virtuális gépnek telepítve kell lennie a Python 2.7-nek vagy 3-nak. Az ellenőrzéshez használja a python --version vagy python3 --version a parancsot. Ha Python 3-at használ, győződjön meg arról, hogy a gép alapértelmezett parancsaként van beállítva, vagy a python helyett a "python3" paranccsal futtathat szkripteket.

  • A naplótovábbítónak engedélyeznie kell a démont vagy rsyslog a syslog-ng démont.

  • A naplótovábbító helykövetelményeiért tekintse meg az Azure Monitor-ügynök teljesítménymutatóját. Ezt a blogbejegyzést is áttekintheti, amely skálázható betöltési terveket is tartalmaz.

  • A naplóforrásokat, biztonsági eszközöket és berendezéseket úgy kell konfigurálni, hogy a naplóüzeneteiket a naplótovábbító syslog démonjának küldjék el a helyi syslog démon helyett.

Gépbiztonsági előfeltételek

Konfigurálja a gép biztonságát a szervezet biztonsági szabályzatának megfelelően. Konfigurálja például a hálózatot úgy, hogy megfeleljen a vállalati hálózati biztonsági szabályzatnak, és módosítsa a démon portjait és protokolljait a követelményeknek megfelelően. A gép biztonsági konfigurációjának javítása érdekében biztonságossá teheti a virtuális gépet az Azure-ban, vagy áttekintheti a hálózati biztonságra vonatkozó ajánlott eljárásokat.

Ha az eszközei syslog- és CEF-naplókat küldenek a TLS-en keresztül, mert például a naplótovábbító a felhőben van, konfigurálnia kell a syslog démont (rsyslog vagy syslog-ng) a TLS-ben való kommunikációhoz. További információk:

Az adatösszekötő konfigurálása

A Syslog AMA vagy Common Event Format (CEF) AMA-adatösszekötőken keresztüli beállítási folyamata a következő lépéseket tartalmazza:

  1. Telepítse az Azure Monitor-ügynököt, és hozzon létre egy adatgyűjtési szabályt (DCR) az alábbi módszerek valamelyikével:
  2. Ha naplókat gyűjt más gépekről egy naplótovábbító használatával, futtassa a "telepítési" szkriptet a naplótovábbítón, hogy konfigurálja a syslog démont a többi gép üzeneteinek figyeléséhez, és nyissa meg a szükséges helyi portokat.

Válassza ki a megfelelő lapot az utasításokhoz.

Adatgyűjtési szabály (DCR) létrehozása

Első lépésként nyissa meg a Syslogot az AMA vagy a Common Event Format (CEF) segítségével a Microsoft Sentinel AMA-adatösszekötőjével, és hozzon létre egy adatgyűjtési szabályt (DCR).

  1. Az Azure PortalOn a Microsoft Sentinel esetében a Konfiguráció területen válassza az Adatösszekötők lehetőséget.
    A Microsoft Sentinel esetében a Defender portálon válassza a Microsoft Sentinel>konfigurációs>adatösszekötőket.

  2. Syslog esetén írja be a Syslog kifejezést a Keresőmezőbe . Az eredmények közül válassza ki a Syslogot az AMA-összekötőn keresztül.
    CEF esetén írja be a CEF kifejezést a Keresőmezőbe . Az eredmények közül válassza ki a Common Event Format (CEF) formátumot az AMA-összekötőn keresztül.

  3. Válassza az Összekötő megnyitása lapot a részletek panelen.

  4. A Konfiguráció területen válassza a +Adatgyűjtési szabály létrehozása lehetőséget.

    Képernyőkép a Syslog AMA-összekötőn keresztüli oldalról.

    Képernyőkép az AMA-összekötőn keresztüli CEF-ről.

  5. Az Alapszintű lapon:

    • Adjon meg egy DCR-nevet.
    • Válassza ki előfizetését.
    • Válassza ki azt az erőforráscsoportot, amelyben meg szeretné keresni a DCR-t.

    Képernyőkép a DCR részleteiről az Alapszintű lapon.

  6. Válassza a Következő: Erőforrások >lehetőséget.

Virtuálisgép-erőforrások definiálása

Az Erőforrások lapon válassza ki azokat a gépeket, amelyekre telepíteni szeretné az AMA-t – ebben az esetben a naplótovábbító gépet. Ha a naplótovábbító nem jelenik meg a listában, lehet, hogy nincs telepítve az Azure Connected Machine-ügynök.

  1. A naplótovábbító virtuális gép megkereséséhez használja a rendelkezésre álló szűrőket vagy keresőmezőket. Bontsa ki az előfizetést a listában az erőforráscsoportok megtekintéséhez, és egy erőforráscsoportot a virtuális gépek megtekintéséhez.

  2. Válassza ki azt a naplótovábbító virtuális gépet, amelyen telepíteni szeretné az AMA-t. A jelölőnégyzet a virtuális gép neve mellett jelenik meg, amikor rámutat rá.

    Képernyőkép az erőforrások kiválasztásáról a DCR beállításakor.

  3. Tekintse át a módosításokat, és válassza a Tovább: Gyűjtés >lehetőséget.

Létesítmények és súlyosságok kiválasztása

Vegye figyelembe, hogy ha ugyanazt a létesítményt használja a syslog és a CEF-üzenetek esetében is, az adatbetöltés duplikálását eredményezheti. További információ: Adatbetöltési duplikációk elkerülése.

  1. A Gyűjtemény lapon válassza ki az egyes létesítmények minimális naplószintét. Amikor kiválaszt egy naplószintet, a Microsoft Sentinel összegyűjti a naplókat a kiválasztott szinthez és a magasabb súlyosságú egyéb szintekhez. Ha például LOG_ERR választ, a Microsoft Sentinel naplókat gyűjt a LOG_ERR, LOG_CRIT, LOG_ALERT és LOG_EMERG szintekről.

    Képernyőkép a naplószintek kiválasztásáról a DCR beállításakor.

  2. Tekintse át a kijelölt elemeket, és válassza a Tovább: Áttekintés + létrehozás lehetőséget.

A szabály áttekintése és létrehozása

Miután elvégezte az összes lapot, tekintse át a beírt adatokat, és hozza létre az adatgyűjtési szabályt.

  1. A Véleményezés és létrehozás lapon válassza a Létrehozás lehetőséget.

    Képernyőkép a DCR konfigurációjának áttekintéséről és létrehozásáról.

    Az összekötő telepíti az Azure Monitor-ügynököt a DCR létrehozásakor kiválasztott gépekre.

  2. Ellenőrizze az Azure Portalon vagy a Microsoft Defender portálon található értesítéseket, hogy lássa, mikor jön létre a DCR, és az ügynök telepítve van.

  3. Válassza a Frissítés lehetőséget az összekötő oldalán a DCR megjelenítéséhez a listában.

Futtassa a "telepítési" szkriptet

Ha naplótovábbítót használ, konfigurálja a syslog démont a más gépekről érkező üzenetek figyelésére, és nyissa meg a szükséges helyi portokat.

  1. Az összekötő oldaláról másolja ki a következő parancs futtatásával megjelenő parancssort a CEF-gyűjtő telepítéséhez és alkalmazásához:

    Képernyőkép a parancssorról az összekötő oldalán.

    Vagy másolja innen:

    sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python Forwarder_AMA_installer.py
    
  2. Jelentkezzen be a naplótovábbító gépre, ahol most telepítette az AMA-t.

  3. Illessze be az utolsó lépésben másolt parancsot a telepítési szkript elindításához.
    A szkript konfigurálja a rsyslog syslog-ng démont a szükséges protokoll használatára, és újraindítja a démont. A szkript megnyitja az 514-ös portot, hogy az UDP- és TCP-protokollokban is figyelje a bejövő üzeneteket. A beállítás módosításához tekintse meg a syslog démon konfigurációs fájlját a számítógépen futó démontípusnak megfelelően:

    • Rsyslog: /etc/rsyslog.conf
    • Syslog-ng: /etc/syslog-ng/syslog-ng.conf

    Ha Python 3-at használ, és nincs beállítva alapértelmezett parancsként a gépen, helyettesítse python3 python a beillesztett parancsot. Lásd a naplótovábbító előfeltételeit.

    Feljegyzés

    A teljes lemezes forgatókönyvek elkerülése érdekében, ha az ügynök nem tud működni, javasoljuk, hogy állítsa be a syslog-ng rsyslog konfigurációt a szükségtelen naplók tárolására. A teljes lemezes forgatókönyv megzavarja a telepített AMA működését. További információ: RSyslog vagy Syslog-ng.

A biztonsági eszköz vagy berendezés konfigurálása

A biztonsági eszköz vagy berendezés konfigurálására vonatkozó konkrét utasításokat az alábbi cikkek egyikében találja:

További információért forduljon a megoldásszolgáltatóhoz, vagy ha az információ nem érhető el a berendezéshez vagy az eszközhöz.

Az összekötő tesztelése

Ellenőrizze, hogy a linuxos gépről vagy a biztonsági eszközökről és berendezésekről érkező üzenetek be vannak-e osztva a Microsoft Sentinelbe.

  1. Annak ellenőrzéséhez, hogy a syslog démon fut-e az UDP-porton, és hogy az AMA figyel-e, futtassa a következő parancsot:

    netstat -lnptv
    

    Az 514-ös porton látnia kell a rsyslog démont syslog-ng vagy a démont.

  2. A naplózótól vagy csatlakoztatott eszközről küldött üzenetek rögzítéséhez futtassa ezt a parancsot a háttérben:

    tcpdump -i any port 514 -A -vv &
    
  3. Az ellenőrzés befejezése után javasoljuk, hogy állítsa le a következőt: Írja be, majd válassza a tcpdumpCtrl C billentyűkombinációt+.fg

  4. Bemutatóüzenetek küldéséhez hajtsa végre az alábbi lépéseket:

    • Használja a netcat segédprogramot. Ebben a példában a segédprogram beolvassa a echo parancson keresztül közzétett adatokat, és az új vonalkapcsoló ki van kapcsolva. A segédprogram ezután időtúllépés nélkül írja az adatokat a localhost UDP-portjára 514 . A netcat segédprogram futtatásához előfordulhat, hogy egy másik csomagot kell telepítenie.

      echo -n "<164>CEF:0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time" | nc -u -w0 localhost 514
      
    • Használja a naplózót. Ez a példa az üzenetet a local 4 létesítménynek írja súlyossági szinten Warning, a porton 514, a helyi gazdagépen, CEF RFC formátumban. A -t jelzők a --rfc3164 várt RFC-formátumnak való megfelelésre szolgálnak.

      logger -p local4.warn -P 514 -n 127.0.0.1 --rfc3164 -t CEF "0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time"
      
  5. Az összekötő megfelelő telepítésének ellenőrzéséhez futtassa a hibaelhárítási szkriptet az alábbi parancsok egyikével:

    • CEF-naplók esetén futtassa a következőt:

       sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --cef
      
    • A Cisco Adaptive Security Appliance (ASA) naplóihoz futtassa a következőt:

      sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --asa
      
    • A Cisco Firepower Threat Defense (FTD) naplóihoz futtassa a következőt:

      sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --ftd