Adatok gyűjtése Linux-alapú forrásokból a Syslog használatával

Megjegyzés

Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel felhőbeli funkcióinak rendelkezésre állása az USA kormányzati ügyfelei számára című cikkben talál további információt.

A Syslog egy linuxos eseménynaplózási protokoll. A Linux-eszközökbe és -berendezésekbe beépített Syslog-démon használatával összegyűjtheti a megadott típusú helyi eseményeket, és a Linuxhoz készült Log Analytics-ügynökkel (korábbi nevén OMS-ügynökkel) elküldheti ezeket az eseményeket a Microsoft Sentinelnek.

Ez a cikk azt ismerteti, hogyan csatlakoztathatja adatforrásokat a Microsoft Sentinelhez a Syslog használatával. A metódus támogatott összekötőiről további információt az Adatösszekötők referenciája című témakörben talál.

Fontos

A Log Analytics-ügynök 2024. augusztus 31-én megszűnik. Ha a Log Analytics-ügynököt használja a Microsoft Sentinel üzemelő példányában, javasoljuk, hogy kezdje el megtervezni az AMA-ba való migrálást. További információ: AMA migrálása a Microsoft Sentinelhez.

Architektúra

Amikor a Log Analytics-ügynök telepítve van a virtuális gépre vagy berendezésre, a telepítési szkript konfigurálja a helyi Syslog démont, hogy üzeneteket továbbítson az ügynöknek a 25224-ös UDP-porton. Az üzenetek fogadása után az ügynök HTTPS-en keresztül küldi el őket a Log Analytics-munkaterületre, ahol a Rendszernapló táblába kerülnek a Microsoft Sentinel-naplókban>.

További információ: Syslog-adatforrások az Azure Monitorban.

Ez az ábra a syslog-forrásokból a Microsoft Sentinel-munkaterületre irányuló adatfolyamot mutatja be, ahol a Log Analytics-ügynök közvetlenül az adatforrás-eszközre van telepítve.

Bizonyos eszköztípusok esetében, amelyek nem teszik lehetővé a Log Analytics-ügynök helyi telepítését, az ügynök telepíthető egy dedikált Linux-alapú naplótovábbítóra. A forráseszközt úgy kell konfigurálni, hogy a syslog-eseményeket a helyi démon helyett a továbbítón lévő Syslog-démonnak küldje. A továbbítón lévő Syslog démon eseményeket küld a Log Analytics-ügynöknek UDP-n keresztül. Ha ez a Linux-továbbító várhatóan nagy mennyiségű Syslog-eseményt gyűjt, a Syslog-démon eseményeket küld az ügynöknek TCP-en keresztül. Az ügynök ezután mindkét esetben elküldi az eseményeket a Microsoft Sentinel Log Analytics-munkaterületére.

Ez az ábra a syslog-forrásokból a Microsoft Sentinel-munkaterületre irányuló adatfolyamot mutatja, ahol a Log Analytics-ügynök egy külön naplótovábbító eszközre van telepítve.

Megjegyzés

  • Ha a berendezés a Syslogon keresztül támogatja a Common Event Format (CEF) formátumot, a rendszer egy teljesebb adatkészletet gyűjt, és az adatokat a rendszer a begyűjtéskor elemzi. Ezt a lehetőséget kell választania, és kövesse a CEF-formátumú naplók lekérése eszközről vagy berendezésről a Microsoft Sentinelbe című témakör utasításait.

  • A Log Analytics támogatja az rsyslog vagy syslog-ng démonok által küldött üzenetek gyűjtését, ahol az rsyslog az alapértelmezett. A Red Hat Enterprise Linux (RHEL), CentOS és Oracle Linux-verzió (sysklog) 5- és 5-ös verziójának alapértelmezett syslog-démonja nem támogatott a syslog-eseménygyűjtéshez. A disztribúciók ezen verziójából származó syslog-adatok gyűjtéséhez telepíteni és konfigurálni kell az rsyslog démont a sysklog helyére.

A Syslog-gyűjtemény konfigurálásának három lépése van:

  • Konfigurálja a Linux-eszközt vagy -berendezést. Ez arra az eszközre vonatkozik, amelyre a Log Analytics-ügynök telepítve lesz, függetlenül attól, hogy ugyanaz az eszköz, amely az eseményeket származtatja, vagy egy naplógyűjtő, amely továbbítja őket.

  • Konfigurálja az alkalmazás naplózási beállításait annak a Syslog démonnak a helyének megfelelően, amely eseményeket küld az ügynöknek.

  • Konfigurálja magát a Log Analytics-ügynököt. Ez a Microsoft Sentinelen belül történik, és a konfigurációt a rendszer elküldi az összes telepített ügynöknek.

Linux rendszerű gép vagy berendezés konfigurálása

  1. A Microsoft Sentinel navigációs menüjében válassza az Adatösszekötők lehetőséget.

  2. Az összekötők gyűjteményében válassza a Syslog , majd az Összekötő megnyitása lap lehetőséget.

    Ha az eszköztípus szerepel a Microsoft Sentinel-adatösszekötők gyűjteményében, válassza ki az eszközhöz tartozó összekötőt az általános Syslog-összekötő helyett. Ha az eszköztípushoz további vagy speciális utasítások is tartoznak, az eszköz összekötőlapján az egyéni tartalmakkal, például munkafüzetekkel és elemzési szabálysablonokkal együtt láthatja őket.

  3. Telepítse a Linux-ügynököt. Az Ügynök telepítésének helye területen:

    Gép típusa Utasítások
    Azure Linux rendszerű virtuális gép esetén 1. Bontsa ki az Ügynök telepítése Azure Linux rendszerű virtuális gépen elemet.

    2. Válassza az Azure Linux rendszerű virtuális gépek >telepítési ügynökének letöltése & hivatkozást.

    3. A Virtuális gépek panelen válasszon ki egy virtuális gépet, amelyen telepíteni szeretné az ügynököt, majd válassza a Csatlakozás lehetőséget. Ismételje meg ezt a lépést minden csatlakoztatni kívánt virtuális gép esetében.
    Bármely más Linux-gép esetén 1. Bontsa ki az Ügynök telepítése nem Azure-beli Linux-gépen lehetőséget

    2. Válassza a Nem Azure Linux rendszerű gépek >telepítési ügynökének letöltése & hivatkozást.

    3. Az Ügynökök kezelése panelen válassza a Linux-kiszolgálók lapot, majd másolja ki a Download and onboard agent for Linux parancsot, és futtassa azt a Linux-gépen.

    Ha meg szeretné őrizni a Linux-ügynök telepítési fájljának helyi példányát, válassza a Linux-ügynök letöltése hivatkozást a "Letöltés és előkészítési ügynök" parancs fölött.

    Megjegyzés

    Győződjön meg arról, hogy ezekhez az eszközökhöz a szervezet biztonsági szabályzatának megfelelően konfigurálja a biztonsági beállításokat. Konfigurálhatja például a hálózati beállításokat úgy, hogy igazodjanak a szervezet hálózati biztonsági szabályzatához, és a démon portjait és protokolljait a biztonsági követelményeknek megfelelően módosíthatja.

Az egyszerű Syslog - és CEF-üzenetek továbbítása ugyanazzal a géppel

Meglévő CEF-naplótovábbító gépével egyszerű Syslog-forrásokból is gyűjthet és továbbíthat naplókat. A következő lépéseket azonban el kell végeznie, hogy elkerülje az események mindkét formátumban való elküldését a Microsoft Sentinelnek, mivel ez az események duplikálását eredményezi.

Miután már beállította az adatgyűjtést a CEF-forrásokból, és konfigurálta a Log Analytics-ügynököt:

  1. Minden olyan gépen, amely CEF formátumban küld naplókat, szerkesztenie kell a Syslog konfigurációs fájlját, hogy eltávolítsa a CEF-üzenetek küldéséhez használt létesítményeket. Így a CEF-ben küldött létesítményeket a Rendszernaplóban sem küldi el a rendszer. Ennek módjáról a Syslog konfigurálása Linux-ügynökön című témakörben talál részletes útmutatást.

  2. A következő parancsot kell futtatnia azokon a gépeken, hogy letiltsa az ügynök szinkronizálását a Microsoft Sentinel Syslog-konfigurációjával. Ez biztosítja, hogy az előző lépésben végrehajtott konfigurációmódosítás ne legyen felülírva.

    sudo -u omsagent python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable
    

Az eszköz naplózási beállításainak konfigurálása

Számos eszköztípus saját adatösszekötőkkel rendelkezik az Adatösszekötők gyűjteményben. Ezen összekötők némelyike speciális további útmutatást igényel a naplógyűjtés megfelelő beállításához a Microsoft Sentinelben. Ezek az utasítások magukban foglalhatják egy Kusto-függvényen alapuló elemző implementálását.

A katalógusban felsorolt összekötők a portálon, valamint a Microsoft Sentinel-adatösszekötők referencialapjának szakaszaiban is megjelenítik a megfelelő összekötőlapjaikra vonatkozó utasításokat.

Ha a Microsoft Sentinelben az adatösszekötő oldalán található utasítások azt jelzik, hogy a Kusto-függvények Advanced Security Information Model (ASIM) elemzőként vannak üzembe helyezve, győződjön meg arról, hogy az ASIM-elemzők telepítve vannak a munkaterületen.

Az adatösszekötő oldalán található hivatkozás használatával helyezze üzembe az elemzőket, vagy kövesse a Microsoft Sentinel GitHub-adattár utasításait.

További információ: Advanced Security Information Model (ASIM) elemzők.

A Log Analytics-ügynök konfigurálása

  1. A Syslog-összekötő panel alján válassza a Munkaterület-ügynökök konfigurációjának >megnyitása hivatkozást.

  2. Az Ügynökök konfigurációja panelen válassza a Syslog lapot. Ezután adja hozzá az összekötő gyűjtendő létesítményeit. Válassza a Létesítmény hozzáadása lehetőséget, és válasszon a létesítmények legördülő listájából.

    • Adja hozzá azokat a feltételeket, amelyeket a syslog-berendezés tartalmaz a naplófejlécekben.

    • Ha rendellenes SSH-bejelentkezés-észlelést szeretne használni az összegyűjtött adatokkal, adja hozzá az auth és authpriv értéket. További részletekért tekintse meg az alábbi szakaszt .

  3. Ha hozzáadta az összes figyelni kívánt létesítményt, törölje a jelet a nem gyűjtendő súlyosságok jelölőnégyzeteiből. Alapértelmezés szerint mindegyik meg van jelölve.

  4. Kattintson az Alkalmaz gombra.

  5. A virtuális gépen vagy a berendezésen győződjön meg arról, hogy a megadott létesítményeket küldi el.

Az adatok megkeresése

  1. A syslog-napló adatainak a Naplókban való lekérdezéséhez írja be Syslog a lekérdezési ablakba.

    (A Syslog mechanizmust használó egyes összekötők az adataikat nem Sysloga táblában tárolják. Tekintse meg az összekötő szakaszát a Microsoft Sentinel adatösszekötők referenciaoldalán .)

  2. A Syslog-üzenetek elemzéséhez használhatja a Függvények használata az Azure Monitor napló lekérdezéseiben című cikkben ismertetett lekérdezési paramétereket. Ezután mentheti a lekérdezést új Log Analytics-függvényként, és használhatja új adattípusként.

A Syslog-összekötő konfigurálása rendellenes SSH-bejelentkezés-észleléshez

Fontos

A rendellenes SSH-bejelentkezésészlelés jelenleg előzetes verzióban érhető el. A Microsoft Azure Previews kiegészítő használati feltételei című cikkben talál további jogi feltételeket, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem elérhető Azure-funkciókra vonatkoznak.

A Microsoft Sentinel gépi tanulást (ML) alkalmazhat a syslog-adatokra a rendellenes Secure Shell-(SSH-) bejelentkezési tevékenység azonosításához. A forgatókönyvek a következők:

  • Lehetetlen utazás – ha két sikeres bejelentkezési esemény történik két olyan helyről, amelyek nem érhetők el a két bejelentkezési esemény időkeretén belül.

  • Váratlan hely – gyanús az a hely, ahonnan sikeres bejelentkezési esemény történt. A helyet például nem látták mostanában.

Ehhez az észleléshez a Syslog-adatösszekötő egy adott konfigurációja szükséges:

  1. A fenti Log Analytics-ügynök konfigurálása területen a 2. lépésnél győződjön meg arról, hogy a hitelesítés és az authpriv is ki van jelölve a figyelendő létesítmények közül, és hogy az összes súlyosság ki van jelölve.

  2. Hagyjon elegendő időt a syslog-adatok gyűjtésére. Ezután lépjen a Microsoft Sentinel – Naplók lapra, és másolja és illessze be a következő lekérdezést:

    Syslog
    | where Facility in ("authpriv","auth")
    | extend c = extract( "Accepted\\s(publickey|password|keyboard-interactive/pam)\\sfor ([^\\s]+)",1,SyslogMessage)
    | where isnotempty(c)
    | count 
    

    Szükség esetén módosítsa az időtartományt , és válassza a Futtatás lehetőséget.

    Ha az eredmény nulla, ellenőrizze az összekötő konfigurációját, és győződjön meg arról, hogy a figyelt számítógépek a lekérdezéshez megadott időszakra vonatkozóan sikeres bejelentkezési tevékenységet végeznek.

    Ha az eredményként kapott szám nullánál nagyobb, a syslog-adatok alkalmasak a rendellenes SSH-bejelentkezés észlelésére. Ezt az észlelést az Elemzési>szabálysablonok>(előzetes verzió) rendellenes SSH-bejelentkezésészlelés segítségével engedélyezheti.

Következő lépések

Ebben a dokumentumban megtanulta, hogyan csatlakoztathatja a Helyszíni Syslog-berendezéseket a Microsoft Sentinelhez. A Microsoft Sentinelről az alábbi cikkekben talál további információt: