Menyebarkan penerus log untuk menyerap log Syslog dan CEF ke Microsoft Azure Sentinel

Perhatian

Artikel ini mereferensikan CentOS, distribusi Linux yang mendekati status End Of Life (EOL). Harap pertimbangkan penggunaan dan perencanaan Anda yang sesuai. Untuk informasi selengkapnya, lihat panduan Akhir Masa Pakai CentOS.

Untuk menyerap log Syslog dan CEF ke Microsoft Azure Sentinel, terutama dari perangkat dan peralatan di mana Anda tidak dapat memasang agen Analitik Log secara langsung, Anda harus menunjuk dan mengkonfigurasi komputer Linux yang akan mengumpulkan log dari perangkat Anda dan meneruskannya ke ruang kerja Microsoft Azure Sentinel Anda. Komputer ini dapat berupa komputer fisik atau virtual di lingkungan lokal Anda, VM Azure, atau VM di cloud lain.

Mesin ini memiliki dua komponen yang mengambil bagian dalam proses ini:

• Daemon syslog, baik rsyslog atau syslog-ng, yang mengumpulkan log.
• Agen Analitik Log (juga dikenal sebagai Agen OMS), yang meneruskan log ke Microsoft Azure Sentinel.

Dengan menggunakan tautan yang disediakan, Anda akan menjalankan skrip pada komputer yang ditunjuk yang melakukan tugas-tugas berikut:

• Menginstal agen Analitik Log untuk Linux (juga dikenal sebagai agen OMS) dan mengonfigurasinya untuk tujuan berikut:

  • mendengarkan pesan CEF dari daemon Linux Syslog bawaan pada port TCP 25226
  • mengirim pesan dengan aman melalui TLS ke ruang kerja Microsoft Azure Sentinel Anda, di mana mereka diurai dan diperkaya

• Mengonfigurasi {i>daemon

  • mendengarkan pesan Syslog dari solusi keamanan Anda di port TCP 514
  • meneruskan hanya pesan yang diidentifikasi sebagai CEF ke agen Log Analytics di localhost menggunakan port TCP 25226

Penting

Agen Analitik Log akan dihentikan pada 31 Agustus 2024. Jika Anda menggunakan agen Log Analytics dalam penyebaran Microsoft Sentinel, kami sarankan Anda mulai merencanakan migrasi ke AMA. Untuk informasi selengkapnya, lihat Migrasi AMA untuk Microsoft Sentinel.

Untuk informasi tentang menyebarkan log Syslog dan/atau CEF dengan Agen Azure Monitor, tinjau opsi untuk log streaming dalam format CEF dan Syslog ke Microsoft Sentinel.

Prasyarat

Setiap konektor data memiliki serangkaian prasyaratnya sendiri. Prasyarat mungkin termasuk bahwa Anda harus memiliki izin khusus di ruang kerja, langganan, atau kebijakan Azure Anda. Atau, Anda harus memenuhi persyaratan lain untuk sumber data mitra yang Anda sambungkan.

Prasyarat untuk setiap konektor data tercantum di halaman konektor data yang relevan di Microsoft Azure Sentinel.

Instal solusi produk dari Content Hub di Microsoft Azure Sentinel. Jika produk tidak tercantum, instal solusi untuk Format Peristiwa Umum. Untuk informasi selengkapnya, lihat Menemukan dan mengelola konten di luar kotak Microsoft Azure Sentinel.

Penting

Versi sistem operasi mungkin memiliki tanggal dukungan dan siklus hidup yang berbeda. Kami menyarankan agar Anda memeriksa dokumentasi resmi setiap distribusi untuk dukungan dan tanggal akhir masa pakai yang paling akurat dan terbaru.

Mesin Anda harus memenuhi persyaratan berikut:

• Perangkat keras (fisik/virtual)

  • Komputer Anda harus memiliki minimal 4 core CPU dan RAM 8GB.

    Catatan

    • Satu mesin penerus log dengan konfigurasi perangkat keras di atas dan menggunakan daemon rsyslog memiliki kapasitas yang didukung hingga 8500 peristiwa per detik (EPS) yang dikumpulkan.

• Sistem operasi

  • CentOS 7 dan 8 (bukan6), termasuk versi minor (64-bit/32-bit)
  • Amazon Linux 2 (hanya 64-bit)
  • Oracle Linux 7, 8 (64-bit/32-bit)
  • Red Hat Enterprise Linux (RHEL) Server 7 dan 8 (bukan 6), termasuk versi minor (64-bit/32-bit)
  • Debian GNU/Linux 8 dan 9 (64-bit/32-bit)
  • Ubuntu Linux 20.04 LTS (hanya 64-bit)
  • SUSE Linux Enterprise Server 12, 15 (hanya 64-bit)

• Versi Daemon

  • Rsyslog: v8
  • Syslog-ng: 2.1 - 3.22.1

• Paket

  • Anda harus menginstal Python 2.7 atau 3 pada komputer Linux.
    Gunakan perintah python --version atau python3 --version untuk memeriksa.
  • Anda harus memiliki paket GNU Wget .

• Dukungan Syslog RFC

  • Syslog RFC 3164
  • Syslog RFC 5424

• Konfigurasi

  • Anda harus meningkatkan izin (sudo) pada komputer Linux pilihan Anda.
  • Komputer Linux harus tidak tersambung ke ruang kerja Azure mana pun sebelum Anda menginstal agen Log Analytics.

• Data

  • Anda mungkin memerlukan ID Workspace dan Kunci Utama Ruang Kerja Microsoft Azure Sentinel di beberapa titik dalam proses ini. Anda dapat menemukannya di sumber daya ruang kerja, di bawah Manajemen agen.

Pertimbangan keamanan

Pastikan untuk mengonfigurasi keamanan mesin sesuai dengan kebijakan keamanan organisasi Anda. Misalnya, Anda dapat mengonfigurasi jaringan untuk menyelaraskan dengan kebijakan keamanan jaringan perusahaan dan mengubah port dan protokol di daemon agar sesuai dengan kebutuhan Anda. Anda dapat menggunakan instruksi berikut untuk meningkatkan konfigurasi keamanan komputer Anda: Mengamankan mesin virtual di Azure, Praktik terbaik untuk keamanan Jaringan.

Jika perangkat Anda mengirim log Syslog dan CEF melalui TLS, seperti ketika penerus log Anda berada di cloud, Anda perlu mengonfigurasi daemon Syslog (rsyslog atau syslog-ng) untuk berkomunikasi di TLS. Lihat dokumentasi berikut untuk panduan:

• Mengenkripsi lalu lintas Syslog dengan TLS – rsyslog
• Mengenkripsi pesan log dengan TLS – syslog-ng

Jalankan skrip penyebaran

1. Di Microsoft Azure Sentinel, pilih Konektor data.

2. Pilih konektor untuk produk Anda dari galeri konektor. Jika produk Anda tidak tercantum, pilih Common Event Format (CEF).

3. Di panel detail untuk konektor, pilih Buka halaman konektor.

4. Pada halaman konektor, dalam instruksi di bawah 1.2 Instal kolektor CEF pada mesin Linux, salin tautan yang disediakan di bawah Jalankan skrip berikut untuk menginstal dan menerapkan kolektor CEF.
   Jika Anda tidak memiliki akses ke halaman itu, salin tautan dari teks di bawah ini (salin dan tempel ID Ruang Kerja dan Kunci Utama dari atas sebagai pengganti tempat penampung):

   sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [WorkspaceID] [Workspace Primary Key]
   

5. Tempelkan link atau teks ke baris perintah pada penerusan log Anda, dan jalankan.

6. Saat skrip sedang berjalan, periksa untuk memastikan Anda tidak mendapatkan kesalahan atau pesan peringatan.

   • Anda mungkin mendapatkan pesan yang mengarahkan Anda untuk menjalankan perintah untuk memperbaiki masalah dengan pemetaan bidang Computer. Lihat penjelasan dalam skrip validasi untuk detailnya.

7. Konfigurasikan F5 ASM Anda untuk mengirim pesan CEF.

   Catatan

   Menggunakan mesin yang sama untuk meneruskan pesan Syslog biasa dan pesan CEF

   Jika Anda berencana menggunakan mesin penerus log ini untuk meneruskan pesan Syslog serta CEF, maka untuk menghindari duplikasi peristiwa ke tabel Syslog dan CommonSecurityLog:

   1. Pada setiap mesin yang mengirim log dalam format CEF, Anda harus mengedit file konfigurasi Syslog dengan tujuan menghapus fasilitas yang digunakan untuk mengirim pesan CEF. Dengan demikian, fasilitas yang dikirim di CEF juga tidak akan dikirim di Syslog. Lihat Mengonfigurasikan Syslog pada agen Linux untuk memperoleh instruksi yang detail mengenai cara melakukan hal ini.

   2. Anda harus menjalankan perintah berikut pada komputer-komputer tersebut untuk menonaktifkan sinkronisasi agen dengan konfigurasi Syslog di Microsoft Azure Sentinel. Perintah berikut memastikan bahwa perubahan konfigurasi yang Anda buat pada langkah sebelumnya tidak akan ditimpa.
      sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'

Skrip penyebaran dijelaskan

Berikut ini adalah deskripsi perintah demi perintah tentang tindakan skrip penyebaran.

Pilih daemon syslog untuk melihat deskripsi yang sesuai.

rsyslog daemon

1. Mengunduh dan menginstal agen Log Analytics:

   • Mengunduh skrip instalasi untuk agen Linux Log Analytics (OMS).

     wget -O onboard_agent.sh https://raw.githubusercontent.com/Microsoft/OMS-Agent-for-Linux/
         master/installer/scripts/onboard_agent.sh
     

   • Memasang agen Log Analytics.

     sh onboard_agent.sh -w [workspaceID] -s [Primary Key] -d opinsights.azure.com
     

2. Mengatur konfigurasi agen Analitik Log untuk mendengarkan di port 25226 dan meneruskan pesan CEF ke Microsoft Azure Sentinel:

   • Mengunduh konfigurasi dari repositori GitHub agen Log Analytics.

     wget -O /etc/opt/microsoft/omsagent/[workspaceID]/conf/omsagent.d/security_events.conf
         https://raw.githubusercontent.com/microsoft/OMS-Agent-for-Linux/master/installer/conf/
         omsagent.d/security_events.conf
     

3. Mengonfigurasi daemon Syslog:

   • Buka port 514 untuk komunikasi TCP menggunakan file konfigurasi syslog /etc/rsyslog.conf.

   • Konfigurasikan daemon untuk meneruskan pesan CEF ke agen Log Analytics pada port TCP 25226, dengan memasukkan file konfigurasi khusus security-config-omsagent.conf ke direktori daemon syslog /etc/rsyslog.d/.

     Isi berkassecurity-config-omsagent.conf:

     if $rawmsg contains "CEF:" or $rawmsg contains "ASA-" then @@127.0.0.1:25226 
     

4. Memulai ulang daemon syslog dan agen Log Analytics:

   • Memulai ulang daemon rsyslog.

     service rsyslog restart
     

   • Memulai ulang agen Log Analytics.

     /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

5. Memverifikasi pemetaan bidang Computer seperti yang diharapkan:

   • Pastikan bahwa bidang Computer di sumber syslog telah dipetakan dengan benar di agen Log Analytics, menggunakan perintah berikut:

     grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb
     

   • Jika ada masalah dengan pemetaan, skrip akan menghasilkan pesan kesalahan yang mengarahkan Anda untuk menjalankan perintah berikut secara manual (menerapkan ID Ruang Kerja sebagai ganti tempat penampung). Perintah akan memastikan pemetaan yang benar dan memulai ulang agen.

     sudo sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

syslog-ng daemon

1. Mengunduh dan menginstal agen Log Analytics:

   • Mengunduh skrip instalasi untuk agen Linux Log Analytics (OMS).

     wget -O onboard_agent.sh https://raw.githubusercontent.com/Microsoft/OMS-Agent-for-Linux/
         master/installer/scripts/onboard_agent.sh
     

   • Memasang agen Log Analytics.

     sh onboard_agent.sh -w [workspaceID] -s [Primary Key] -d opinsights.azure.com
     

2. Mengatur konfigurasi agen Analitik Log untuk mendengarkan di port 25226 dan meneruskan pesan CEF ke Microsoft Azure Sentinel:

   • Mengunduh konfigurasi dari repositori GitHub agen Log Analytics.

     wget -O /etc/opt/microsoft/omsagent/[workspaceID]/conf/omsagent.d/security_events.conf
         https://raw.githubusercontent.com/microsoft/OMS-Agent-for-Linux/master/installer/conf/
         omsagent.d/security_events.conf
     

3. Mengonfigurasi daemon Syslog:

   • Buka port 514 untuk komunikasi TCP menggunakan file konfigurasi syslog /etc/syslog-ng/syslog-ng.conf.

   • Konfigurasikan daemon untuk meneruskan pesan CEF ke agen Log Analytics pada port TCP 25226, dengan memasukkan file konfigurasi khusus security-config-omsagent.conf ke direktori daemon syslog /etc/syslog-ng/conf.d/.

     Isi berkassecurity-config-omsagent.conf:

     filter f_oms_filter {match("CEF\|ASA" ) ;};destination oms_destination {tcp("127.0.0.1" port(25226));};
     log {source(s_src);filter(f_oms_filter);destination(oms_destination);};
     

4. Memulai ulang daemon syslog dan agen Log Analytics:

   • Memulai kembali daemon syslog-ng.

     service syslog-ng restart
     

   • Memulai ulang agen Log Analytics.

     /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

5. Memverifikasi pemetaan bidang Computer seperti yang diharapkan:

   • Pastikan bahwa bidang Computer di sumber syslog telah dipetakan dengan benar di agen Log Analytics, menggunakan perintah berikut:

     grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb
     

   • Jika ada masalah dengan pemetaan, skrip akan menghasilkan pesan kesalahan yang mengarahkan Anda untuk menjalankan perintah berikut secara manual (menerapkan ID Ruang Kerja sebagai ganti tempat penampung). Perintah akan memastikan pemetaan yang benar dan memulai ulang agen.

     sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

Langkah berikutnya

Dalam dokumen ini, Anda mempelajari cara menerapkan agen Analitik Log untuk menghubungkan peralatan CEF ke Microsoft Azure Sentinel. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut:

• Pelajari tentang pemetaan bidang CEF dan CommonSecurityLog.
• Pelajari cara mendapatkan visibilitas ke dalam data Anda, dan potensi ancaman.
• Mulai mendeteksi ancaman dengan Microsoft Azure Sentinel.