Naplótovábbító üzembe helyezése a Syslog- és CEF-naplók Microsoft Sentinelbe való betöltéséhez

Figyelemfelhívás

Ez a cikk a CentOS-ra, egy olyan Linux-disztribúcióra hivatkozik, amely elérte az Élettartam vége (EOL) állapotát. Ennek megfelelően fontolja meg a használatot és a tervezést. További információ: CentOS End Of Life útmutató.

A Syslog- és CEF-naplók Microsoft Sentinelbe való betöltéséhez, különösen olyan eszközökről és berendezésekről, amelyekre nem lehet közvetlenül telepíteni a Log Analytics-ügynököt, ki kell jelölnie és konfigurálnia kell egy Linux-gépet, amely összegyűjti a naplókat az eszközeiről, és továbbítja őket a Microsoft Sentinel-munkaterületre. Ez a gép lehet fizikai vagy virtuális gép a helyszíni környezetben, egy Azure-beli virtuális gép vagy egy másik felhőben lévő virtuális gép.

A gép két összetevővel rendelkezik, amelyek részt vesznek ebben a folyamatban:

• A naplókat összegyűjtő syslog démon( rsyslog vagy syslog-ng).
• A Naplóelemzési ügynök (más néven OMS-ügynök), amely továbbítja a naplókat a Microsoft Sentinelnek.

Az alábbi hivatkozás használatával egy szkriptet fog futtatni a kijelölt gépen, amely a következő feladatokat hajtja végre:

• Telepíti a Linuxhoz készült Log Analytics-ügynököt (más néven OMS-ügynököt), és a következő célokra konfigurálja:

  • CEF-üzenetek figyelése a 25226-os TCP-porton található beépített Linux Syslog-démonból
  • az üzenetek biztonságos küldése TLS-en keresztül a Microsoft Sentinel-munkaterületre, ahol elemezve és bővítve vannak

• A beépített Linux Syslog démont (rsyslog.d/syslog-ng) a következő célokra konfigurálja:

  • Syslog-üzenetek figyelés a biztonsági megoldásokból az 514-ös TCP-porton
  • csak a CEF-ként azonosított üzenetek továbbítása a Log Analytics-ügynökhöz a localhoston a 25226-os TCP-port használatával

Fontos

A Log Analytics-ügynök 2024. augusztus 31-én megszűnik. Ha a Log Analytics-ügynököt használja a Microsoft Sentinel üzemelő példányában, javasoljuk, hogy kezdje el megtervezni az AMA-ba való migrálást. További információ: AMA migrálása a Microsoft Sentinelhez.

A Syslog- és/vagy CEF-naplók Azure Monitor-ügynökkel való üzembe helyezésével kapcsolatos információkért tekintse át a CEF és a Syslog formátumú naplók Microsoft Sentinelbe történő streamelési lehetőségeit.

Előfeltételek

Minden adatösszekötő saját előfeltételekkel rendelkezik. Az előfeltételek közé tartozhat, hogy adott engedélyekkel kell rendelkeznie az Azure-munkaterületen, az előfizetésben vagy a szabályzatban. Vagy meg kell felelnie annak a partneradatforrásnak az egyéb követelményeinek is, amelyhez csatlakozik.

Az egyes adatösszekötők előfeltételei a Microsoft Sentinel megfelelő adatösszekötő oldalán találhatók.

Telepítse a termékmegoldást a Content Hubról a Microsoft Sentinelben. Ha a termék nem szerepel a listában, telepítse a Common Event Format megoldást. További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.

Fontos

Az operációsrendszer-verziók különböző támogatási dátumokkal és életciklusokkal rendelkezhetnek. Javasoljuk, hogy ellenőrizze az egyes disztribúciók hivatalos dokumentációját a legpontosabb és legfrissebb támogatásért és az élettartam végéig.

A gépnek meg kell felelnie a következő követelményeknek:

• Hardver (fizikai/virtuális)

  • A Linux rendszerű gépnek legalább 4 processzormaggal és 8 GB RAM-mal kell rendelkeznie.

    Feljegyzés

    • A fenti hardverkonfigurációval és az rsyslog démont használó egyetlen naplótovábbító gép másodpercenként legfeljebb 8500 esemény (EPS) támogatott kapacitással rendelkezik.

• Operációs rendszer

  • Amazon Linux 2 (csak 64 bites)
  • Oracle Linux 7, 8 (64 bites/32 bites)
  • Red Hat Enterprise Linux (RHEL) Server 7 és 8 (nem 6), beleértve az alverziókat (64 bites/32 bites)
  • Debian GNU/Linux 8 és 9 (64 bites/32 bites)
  • Ubuntu Linux 20.04 LTS (csak 64 bites)
  • SUSE Linux Enterprise Server 12, 15 (csak 64 bites)
  • A CentOS-disztribúciók már nem támogatottak, mivel elérték az Élettartam vége (EOL) állapotot. Lásd a cikk elején található megjegyzést.

• Démonverziók

  • Rsyslog: v8
  • Syslog-ng: 2.1 – 3.22.1

• Csomagok

  • A Linux rendszerű gépen a Python 2.7-nek vagy 3-nak kell telepítve lennie.
    Az ellenőrzéshez használja a python --version vagy python3 --version a parancsot.
  • A GNU Wget csomagnak rendelkeznie kell.

• A Syslog RFC támogatása

  • Syslog RFC 3164
  • Syslog RFC 5424

• Konfiguráció

  • A kijelölt Linux-gépen emelt szintű engedélyekkel (sudo) kell rendelkeznie.
  • A Log Analytics-ügynök telepítése előtt a Linux-gépet nem szabad azure-munkaterületekhez csatlakoztatni.

• Adatok

  • A folyamat egy pontján szükség lehet a Microsoft Sentinel-munkaterület munkaterület-azonosítójára és elsődleges munkaterületkulcsára. Ezeket a munkaterület beállításai között, az Ügynökök kezelése területen találja meg.

Biztonsági szempontok

Győződjön meg arról, hogy a gép biztonságát a szervezet biztonsági szabályzatának megfelelően konfigurálja. Konfigurálhatja például a hálózatot úgy, hogy igazodjon a vállalati hálózati biztonsági szabályzathoz, és módosítsa a démon portjait és protokolljait a követelményeknek megfelelően. A következő utasítások segítségével javíthatja a gép biztonsági konfigurációját: Biztonságos virtuális gép az Azure-ban, ajánlott eljárások a hálózati biztonsághoz.

Ha az eszközei Syslog- és CEF-naplókat küldenek a TLS-en keresztül (mivel például a naplótovábbító a felhőben van), konfigurálnia kell a Syslog démont (rsyslog vagy syslog-ng) a TLS-ben való kommunikációhoz. Részletekért tekintse meg a következő dokumentációt:

• Syslog-forgalom titkosítása TLS használatával – rsyslog
• Naplóüzenetek titkosítása TLS használatával – syslog-ng

Az üzembe helyezési szkript futtatása

1. A Microsoft Sentinelben válassza az Adatösszekötők lehetőséget.

2. Válassza ki a termék összekötőit az összekötők gyűjteményéből. Ha a termék nem szerepel a listában, válassza a Common Event Format (CEF) lehetőséget.

3. Az összekötő részletek ablaktábláján válassza az Összekötő megnyitása lapot.

4. Az összekötő oldalán, az 1.2 A CEF-gyűjtő telepítése Linux-gépen című útmutatóban másolja ki a következő szkript futtatásával elérhető hivatkozást a CEF-gyűjtő telepítéséhez és alkalmazásához.
   Ha nem fér hozzá az adott laphoz, másolja ki a hivatkozást az alábbi szövegből (másolja és illesztse be a munkaterület azonosítóját és az elsődleges kulcsot fentről a helyőrzők helyett):

   sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [WorkspaceID] [Workspace Primary Key]
   

5. Illessze be a hivatkozást vagy a szöveget a naplótovábbító parancssorába, és futtassa.

6. Amíg a szkript fut, ellenőrizze, hogy nem kap-e hibaüzenetet vagy figyelmeztető üzenetet.

   • Kaphat egy üzenetet, amely arra utasítja, hogy futtasson egy parancsot a Számítógép mező leképezésével kapcsolatos probléma kijavításához. A részletekért tekintse meg az üzembehelyezési szkript magyarázatát.

7. Konfigurálja az eszközt CEF-üzenetek küldésére.

   Feljegyzés

   Ugyanazzal a géppel továbbíthatja az egyszerű Syslog - és CEF-üzeneteket is

   Ha ezt a naplótovábbító gépet a Syslog-üzenetek és a CEF továbbítására tervezi használni, akkor az események syslog- és CommonSecurityLog-táblákba való duplikációjának elkerülése érdekében:

   1. Minden olyan forrásgépen, amely CEF formátumban küld naplókat a továbbítónak, szerkesztenie kell a Syslog konfigurációs fájlját, hogy eltávolítsa a CEF-üzenetek küldéséhez használt létesítményeket. Így a CEF-ben küldött létesítmények nem lesznek elküldve a Syslogban sem. Ennek részletes útmutatását a Syslog konfigurálása Linux-ügynökön című témakörben találja.

   2. A következő parancsot kell futtatnia ezeken a gépeken, hogy letiltsa az ügynök szinkronizálását a Microsoft Sentinel Syslog-konfigurációjával. Ez biztosítja, hogy az előző lépésben végrehajtott konfigurációmódosítás ne legyen felülírva.
      sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'

Az üzembehelyezési szkript magyarázata

Az alábbiakban az üzembe helyezési szkript műveleteinek parancsonkénti leírása látható.

Válasszon ki egy syslog démont a megfelelő leírás megtekintéséhez.

rsyslog démon

1. A Log Analytics-ügynök letöltése és telepítése:

   • Letölti a Log Analytics (OMS) Linux-ügynök telepítési szkriptjét.

     wget -O onboard_agent.sh https://raw.githubusercontent.com/Microsoft/OMS-Agent-for-Linux/
         master/installer/scripts/onboard_agent.sh
     

   • Telepíti a Log Analytics-ügynököt.

     sh onboard_agent.sh -w [workspaceID] -s [Primary Key] -d opinsights.azure.com
     

2. A Log Analytics-ügynök konfigurációjának beállítása a 25226-os port figyelésére, és CEF-üzenetek továbbítása a Microsoft Sentinelnek:

   • Letölti a konfigurációt a Log Analytics-ügynök GitHub-adattárából.

     wget -O /etc/opt/microsoft/omsagent/[workspaceID]/conf/omsagent.d/security_events.conf
         https://raw.githubusercontent.com/microsoft/OMS-Agent-for-Linux/master/installer/conf/
         omsagent.d/security_events.conf
     

3. A Syslog démon konfigurálása:

   • Megnyitja az 514-ös portot a TCP-kommunikációhoz a syslog konfigurációs fájl /etc/rsyslog.confhasználatával.

   • Úgy konfigurálja a démont, hogy a 25226-os TCP-porton továbbítsa a CEF-üzeneteket a Log Analytics-ügynöknek egy speciális konfigurációs fájl security-config-omsagent.conf beszúrásával a syslog démonkönyvtárba /etc/rsyslog.d/.

     security-config-omsagent.conf A fájl tartalma:

     if $rawmsg contains "CEF:" or $rawmsg contains "ASA-" then @@127.0.0.1:25226 
     

4. A Syslog démon és a Log Analytics-ügynök újraindítása:

   • Újraindítja az rsyslog démont.

     service rsyslog restart
     

   • Újraindítja a Log Analytics-ügynököt.

     /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

5. A Számítógép mező leképezésének ellenőrzése a várt módon:

   • Biztosítja, hogy a Syslog-forrás Számítógép mezőjét megfelelően képezze le a Log Analytics-ügynök a következő paranccsal:

     grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb
     

   • Ha probléma merül fel a leképezéssel kapcsolatban, a szkript hibaüzenetet küld, amely arra utasítja, hogy manuálisan futtassa a következő parancsot (a helyőrző helyett alkalmazza a munkaterület-azonosítót). A parancs biztosítja a megfelelő leképezést, és újraindítja az ügynököt.

     sudo sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

syslog-ng démon

1. A Log Analytics-ügynök letöltése és telepítése:

   • Letölti a Log Analytics (OMS) Linux-ügynök telepítési szkriptjét.

     wget -O onboard_agent.sh https://raw.githubusercontent.com/Microsoft/OMS-Agent-for-Linux/
         master/installer/scripts/onboard_agent.sh
     

   • Telepíti a Log Analytics-ügynököt.

     sh onboard_agent.sh -w [workspaceID] -s [Primary Key] -d opinsights.azure.com
     

2. A Log Analytics-ügynök konfigurációjának beállítása a 25226-os port figyelésére, és CEF-üzenetek továbbítása a Microsoft Sentinelnek:

   • Letölti a konfigurációt a Log Analytics-ügynök GitHub-adattárából.

     wget -O /etc/opt/microsoft/omsagent/[workspaceID]/conf/omsagent.d/security_events.conf
         https://raw.githubusercontent.com/microsoft/OMS-Agent-for-Linux/master/installer/conf/
         omsagent.d/security_events.conf
     

3. A Syslog démon konfigurálása:

   • Megnyitja az 514-ös portot a TCP-kommunikációhoz a syslog konfigurációs fájl /etc/syslog-ng/syslog-ng.confhasználatával.

   • Úgy konfigurálja a démont, hogy a 25226-os TCP-porton továbbítsa a CEF-üzeneteket a Log Analytics-ügynöknek egy speciális konfigurációs fájl security-config-omsagent.conf beszúrásával a syslog démonkönyvtárba /etc/syslog-ng/conf.d/.

     security-config-omsagent.conf A fájl tartalma:

     filter f_oms_filter {match("CEF\|ASA" ) ;};destination oms_destination {tcp("127.0.0.1" port(25226));};
     log {source(s_src);filter(f_oms_filter);destination(oms_destination);};
     

4. A Syslog démon és a Log Analytics-ügynök újraindítása:

   • Újraindítja a syslog-ng démont.

     service syslog-ng restart
     

   • Újraindítja a Log Analytics-ügynököt.

     /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

5. A Számítógép mező leképezésének ellenőrzése a várt módon:

   • Biztosítja, hogy a Syslog-forrás Számítógép mezőjét megfelelően képezze le a Log Analytics-ügynök a következő paranccsal:

     grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb
     

   • Ha probléma merül fel a leképezéssel kapcsolatban, a szkript hibaüzenetet küld, amely arra utasítja, hogy manuálisan futtassa a következő parancsot (a helyőrző helyett alkalmazza a munkaterület-azonosítót). A parancs biztosítja a megfelelő leképezést, és újraindítja az ügynököt.

     sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

Következő lépések

Ebben a dokumentumban megtanulta, hogyan helyezheti üzembe a Log Analytics-ügynököt a CEF-berendezések Microsoft Sentinelhez való csatlakoztatásához. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:

• További információ a CEF és a CommonSecurityLog mezőleképezéséről.
• Megtudhatja, hogyan ismerheti meg az adatokat és a potenciális fenyegetéseket.
• Ismerkedés a fenyegetések észlelésével a Microsoft Sentinellel.