Naplótovábbító üzembe helyezése a Syslog- és CEF-naplók Microsoft Sentinelbe való betöltéséhez
Figyelemfelhívás
Ez a cikk a CentOS-ra, egy olyan Linux-disztribúcióra hivatkozik, amely elérte az Élettartam vége (EOL) állapotát. Ennek megfelelően fontolja meg a használatot és a tervezést. További információ: CentOS End Of Life útmutató.
A Syslog- és CEF-naplók Microsoft Sentinelbe való betöltéséhez, különösen olyan eszközökről és berendezésekről, amelyekre nem lehet közvetlenül telepíteni a Log Analytics-ügynököt, ki kell jelölnie és konfigurálnia kell egy Linux-gépet, amely összegyűjti a naplókat az eszközeiről, és továbbítja őket a Microsoft Sentinel-munkaterületre. Ez a gép lehet fizikai vagy virtuális gép a helyszíni környezetben, egy Azure-beli virtuális gép vagy egy másik felhőben lévő virtuális gép.
A gép két összetevővel rendelkezik, amelyek részt vesznek ebben a folyamatban:
- A naplókat összegyűjtő syslog démon( rsyslog vagy syslog-ng).
- A Naplóelemzési ügynök (más néven OMS-ügynök), amely továbbítja a naplókat a Microsoft Sentinelnek.
Az alábbi hivatkozás használatával egy szkriptet fog futtatni a kijelölt gépen, amely a következő feladatokat hajtja végre:
Telepíti a Linuxhoz készült Log Analytics-ügynököt (más néven OMS-ügynököt), és a következő célokra konfigurálja:
- CEF-üzenetek figyelése a 25226-os TCP-porton található beépített Linux Syslog-démonból
- az üzenetek biztonságos küldése TLS-en keresztül a Microsoft Sentinel-munkaterületre, ahol elemezve és bővítve vannak
A beépített Linux Syslog démont (rsyslog.d/syslog-ng) a következő célokra konfigurálja:
- Syslog-üzenetek figyelés a biztonsági megoldásokból az 514-ös TCP-porton
- csak a CEF-ként azonosított üzenetek továbbítása a Log Analytics-ügynökhöz a localhoston a 25226-os TCP-port használatával
Fontos
A Log Analytics-ügynök 2024. augusztus 31-én megszűnik. Ha a Log Analytics-ügynököt használja a Microsoft Sentinel üzemelő példányában, javasoljuk, hogy kezdje el megtervezni az AMA-ba való migrálást. További információ: AMA migrálása a Microsoft Sentinelhez.
A Syslog- és/vagy CEF-naplók Azure Monitor-ügynökkel való üzembe helyezésével kapcsolatos információkért tekintse át a CEF és a Syslog formátumú naplók Microsoft Sentinelbe történő streamelési lehetőségeit.
Előfeltételek
Minden adatösszekötő saját előfeltételekkel rendelkezik. Az előfeltételek közé tartozhat, hogy adott engedélyekkel kell rendelkeznie az Azure-munkaterületen, az előfizetésben vagy a szabályzatban. Vagy meg kell felelnie annak a partneradatforrásnak az egyéb követelményeinek is, amelyhez csatlakozik.
Az egyes adatösszekötők előfeltételei a Microsoft Sentinel megfelelő adatösszekötő oldalán találhatók.
Telepítse a termékmegoldást a Content Hubról a Microsoft Sentinelben. Ha a termék nem szerepel a listában, telepítse a Common Event Format megoldást. További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.
Fontos
Az operációsrendszer-verziók különböző támogatási dátumokkal és életciklusokkal rendelkezhetnek. Javasoljuk, hogy ellenőrizze az egyes disztribúciók hivatalos dokumentációját a legpontosabb és legfrissebb támogatásért és az élettartam végéig.
A gépnek meg kell felelnie a következő követelményeknek:
Hardver (fizikai/virtuális)
A Linux rendszerű gépnek legalább 4 processzormaggal és 8 GB RAM-mal kell rendelkeznie.
Feljegyzés
- A fenti hardverkonfigurációval és az rsyslog démont használó egyetlen naplótovábbító gép másodpercenként legfeljebb 8500 esemény (EPS) támogatott kapacitással rendelkezik.
Operációs rendszer
- Amazon Linux 2 (csak 64 bites)
- Oracle Linux 7, 8 (64 bites/32 bites)
- Red Hat Enterprise Linux (RHEL) Server 7 és 8 (nem 6), beleértve az alverziókat (64 bites/32 bites)
- Debian GNU/Linux 8 és 9 (64 bites/32 bites)
- Ubuntu Linux 20.04 LTS (csak 64 bites)
- SUSE Linux Enterprise Server 12, 15 (csak 64 bites)
- A CentOS-disztribúciók már nem támogatottak, mivel elérték az Élettartam vége (EOL) állapotot. Lásd a cikk elején található megjegyzést.
Démonverziók
- Rsyslog: v8
- Syslog-ng: 2.1 – 3.22.1
Csomagok
- A Linux rendszerű gépen a Python 2.7-nek vagy 3-nak kell telepítve lennie.
Az ellenőrzéshez használja apython --version
vagypython3 --version
a parancsot. - A GNU Wget csomagnak rendelkeznie kell.
- A Linux rendszerű gépen a Python 2.7-nek vagy 3-nak kell telepítve lennie.
A Syslog RFC támogatása
- Syslog RFC 3164
- Syslog RFC 5424
Konfiguráció
- A kijelölt Linux-gépen emelt szintű engedélyekkel (sudo) kell rendelkeznie.
- A Log Analytics-ügynök telepítése előtt a Linux-gépet nem szabad azure-munkaterületekhez csatlakoztatni.
Adatok
- A folyamat egy pontján szükség lehet a Microsoft Sentinel-munkaterület munkaterület-azonosítójára és elsődleges munkaterületkulcsára. Ezeket a munkaterület beállításai között, az Ügynökök kezelése területen találja meg.
Biztonsági szempontok
Győződjön meg arról, hogy a gép biztonságát a szervezet biztonsági szabályzatának megfelelően konfigurálja. Konfigurálhatja például a hálózatot úgy, hogy igazodjon a vállalati hálózati biztonsági szabályzathoz, és módosítsa a démon portjait és protokolljait a követelményeknek megfelelően. A következő utasítások segítségével javíthatja a gép biztonsági konfigurációját: Biztonságos virtuális gép az Azure-ban, ajánlott eljárások a hálózati biztonsághoz.
Ha az eszközei Syslog- és CEF-naplókat küldenek a TLS-en keresztül (mivel például a naplótovábbító a felhőben van), konfigurálnia kell a Syslog démont (rsyslog vagy syslog-ng) a TLS-ben való kommunikációhoz. Részletekért tekintse meg a következő dokumentációt:
- Syslog-forgalom titkosítása TLS használatával – rsyslog
- Naplóüzenetek titkosítása TLS használatával – syslog-ng
Az üzembe helyezési szkript futtatása
A Microsoft Sentinelben válassza az Adatösszekötők lehetőséget.
Válassza ki a termék összekötőit az összekötők gyűjteményéből. Ha a termék nem szerepel a listában, válassza a Common Event Format (CEF) lehetőséget.
Az összekötő részletek ablaktábláján válassza az Összekötő megnyitása lapot.
Az összekötő oldalán, az 1.2 A CEF-gyűjtő telepítése Linux-gépen című útmutatóban másolja ki a következő szkript futtatásával elérhető hivatkozást a CEF-gyűjtő telepítéséhez és alkalmazásához.
Ha nem fér hozzá az adott laphoz, másolja ki a hivatkozást az alábbi szövegből (másolja és illesztse be a munkaterület azonosítóját és az elsődleges kulcsot fentről a helyőrzők helyett):sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [WorkspaceID] [Workspace Primary Key]
Illessze be a hivatkozást vagy a szöveget a naplótovábbító parancssorába, és futtassa.
Amíg a szkript fut, ellenőrizze, hogy nem kap-e hibaüzenetet vagy figyelmeztető üzenetet.
- Kaphat egy üzenetet, amely arra utasítja, hogy futtasson egy parancsot a Számítógép mező leképezésével kapcsolatos probléma kijavításához. A részletekért tekintse meg az üzembehelyezési szkript magyarázatát.
Konfigurálja az eszközt CEF-üzenetek küldésére.
Feljegyzés
Ugyanazzal a géppel továbbíthatja az egyszerű Syslog - és CEF-üzeneteket is
Ha ezt a naplótovábbító gépet a Syslog-üzenetek és a CEF továbbítására tervezi használni, akkor az események syslog- és CommonSecurityLog-táblákba való duplikációjának elkerülése érdekében:
Minden olyan forrásgépen, amely CEF formátumban küld naplókat a továbbítónak, szerkesztenie kell a Syslog konfigurációs fájlját, hogy eltávolítsa a CEF-üzenetek küldéséhez használt létesítményeket. Így a CEF-ben küldött létesítmények nem lesznek elküldve a Syslogban sem. Ennek részletes útmutatását a Syslog konfigurálása Linux-ügynökön című témakörben találja.
A következő parancsot kell futtatnia ezeken a gépeken, hogy letiltsa az ügynök szinkronizálását a Microsoft Sentinel Syslog-konfigurációjával. Ez biztosítja, hogy az előző lépésben végrehajtott konfigurációmódosítás ne legyen felülírva.
sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'
Az üzembehelyezési szkript magyarázata
Az alábbiakban az üzembe helyezési szkript műveleteinek parancsonkénti leírása látható.
Válasszon ki egy syslog démont a megfelelő leírás megtekintéséhez.
A Log Analytics-ügynök letöltése és telepítése:
Letölti a Log Analytics (OMS) Linux-ügynök telepítési szkriptjét.
wget -O onboard_agent.sh https://raw.githubusercontent.com/Microsoft/OMS-Agent-for-Linux/ master/installer/scripts/onboard_agent.sh
Telepíti a Log Analytics-ügynököt.
sh onboard_agent.sh -w [workspaceID] -s [Primary Key] -d opinsights.azure.com
A Log Analytics-ügynök konfigurációjának beállítása a 25226-os port figyelésére, és CEF-üzenetek továbbítása a Microsoft Sentinelnek:
Letölti a konfigurációt a Log Analytics-ügynök GitHub-adattárából.
wget -O /etc/opt/microsoft/omsagent/[workspaceID]/conf/omsagent.d/security_events.conf https://raw.githubusercontent.com/microsoft/OMS-Agent-for-Linux/master/installer/conf/ omsagent.d/security_events.conf
A Syslog démon konfigurálása:
Megnyitja az 514-ös portot a TCP-kommunikációhoz a syslog konfigurációs fájl
/etc/rsyslog.conf
használatával.Úgy konfigurálja a démont, hogy a 25226-os TCP-porton továbbítsa a CEF-üzeneteket a Log Analytics-ügynöknek egy speciális konfigurációs fájl
security-config-omsagent.conf
beszúrásával a syslog démonkönyvtárba/etc/rsyslog.d/
.security-config-omsagent.conf
A fájl tartalma:if $rawmsg contains "CEF:" or $rawmsg contains "ASA-" then @@127.0.0.1:25226
A Syslog démon és a Log Analytics-ügynök újraindítása:
Újraindítja az rsyslog démont.
service rsyslog restart
Újraindítja a Log Analytics-ügynököt.
/opt/microsoft/omsagent/bin/service_control restart [workspaceID]
A Számítógép mező leképezésének ellenőrzése a várt módon:
Biztosítja, hogy a Syslog-forrás Számítógép mezőjét megfelelően képezze le a Log Analytics-ügynök a következő paranccsal:
grep -i "'Host' => record\['host'\]" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb
Ha probléma merül fel a leképezéssel kapcsolatban, a szkript hibaüzenetet küld, amely arra utasítja, hogy manuálisan futtassa a következő parancsot (a helyőrző helyett alkalmazza a munkaterület-azonosítót). A parancs biztosítja a megfelelő leképezést, és újraindítja az ügynököt.
sudo sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
Következő lépések
Ebben a dokumentumban megtanulta, hogyan helyezheti üzembe a Log Analytics-ügynököt a CEF-berendezések Microsoft Sentinelhez való csatlakoztatásához. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:
- További információ a CEF és a CommonSecurityLog mezőleképezéséről.
- Megtudhatja, hogyan ismerheti meg az adatokat és a potenciális fenyegetéseket.
- Ismerkedés a fenyegetések észlelésével a Microsoft Sentinellel.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: