Share via

Raccogliere dati da origini basate su Linux usando Syslog

  • Articolo

Attenzione

Questo articolo fa riferimento a CentOS, una distribuzione Linux vicina allo stato end of life (EOL). Prendere in considerazione l'uso e la pianificazione di conseguenza. Per altre informazioni, vedere le linee guida per la fine della vita di CentOS.

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud degli Stati Uniti per enti pubblici, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per i clienti del governo degli Stati Uniti.

Syslog è un protocollo di registrazione di eventi comunemente usato in Linux. È possibile usare il daemon Syslog integrato in dispositivi e appliance Linux per raccogliere gli eventi locali dei tipi specificati e inviarli a Microsoft Sentinel usando l'agente di Log Analytics per Linux (noto in precedenza come agente OMS).

Questo articolo descrive come connettere le origini dati a Microsoft Sentinel usando Syslog. Per altre informazioni sui connettori supportati per questo metodo, vedere Informazioni di riferimento sui connettori dati.

Informazioni su come raccogliere Syslog con l'agente di Monitoraggio di Azure, inclusa la configurazione di Syslog e la creazione di un record di dominio.

Importante

L'agente di Log Analytics verrà ritirato il 31 agosto 2024. Se si usa l'agente di Log Analytics nella distribuzione di Microsoft Sentinel, è consigliabile iniziare a pianificare la migrazione all'ama. Per altre informazioni, vedere Migrazione ama per Microsoft Sentinel.

Per informazioni sulla distribuzione dei log syslog con l'agente di Monitoraggio di Azure, vedere le opzioni per lo streaming dei log nel formato CEF e Syslog in Microsoft Sentinel.

Architettura

Quando l'agente di Log Analytics viene installato nella macchina virtuale o nell'appliance, lo script di installazione configura il daemon Syslog locale per inoltrare i messaggi all'agente sulla porta UDP 25224. Dopo aver ricevuto i messaggi, l'agente li invia all'area di lavoro Log Analytics tramite HTTPS, in cui vengono inseriti nella tabella Syslog nei log di Microsoft Sentinel>.

Per altre informazioni, vedere Origini dati Syslog in Monitoraggio di Azure.

Questo diagramma mostra il flusso di dati dalle origini syslog all'area di lavoro di Microsoft Sentinel, in cui l'agente di Log Analytics viene installato direttamente nel dispositivo di origine dati.

Per alcuni tipi di dispositivo che non consentono l'installazione locale dell'agente di Log Analytics, l'agente può essere installato invece in un server d'inoltro dei log basato su Linux dedicato. Il dispositivo di origine deve essere configurato per inviare eventi Syslog al daemon Syslog in questo server d'inoltro anziché al daemon locale. Il daemon Syslog nel server d'inoltro invia eventi all'agente di Log Analytics tramite UDP. Se si prevede che questo server d'inoltro Linux raccolga un volume elevato di eventi Syslog, il daemon Syslog invia invece gli eventi all'agente tramite TCP. In entrambi i casi, l'agente invia quindi gli eventi da questa posizione all'area di lavoro Log Analytics in Microsoft Sentinel.

Questo diagramma mostra il flusso di dati dalle origini syslog all'area di lavoro di Microsoft Sentinel, in cui l'agente di Log Analytics è installato in un dispositivo di inoltro log separato.

Nota

  • Se l'appliance supporta Common Event Format (CEF) su Syslog, viene raccolto un set di dati più completo e i dati vengono analizzati in fase di raccolta. È consigliabile scegliere questa opzione e seguire le istruzioni in Ottenere log in formato CEF dal dispositivo o dall'appliance in Microsoft Sentinel.

  • Log Analytics supporta la raccolta di messaggi inviati dai daemon rsyslog o syslog-ng , dove rsyslog è l'impostazione predefinita. Il daemon syslog predefinito nella versione 5 di Red Hat Enterprise Linux (RHEL), CentOS e Oracle Linux (sysklog) non è supportato per la raccolta di eventi syslog. Per raccogliere i dati di SysLog da questa versione delle distribuzioni, è necessario installare e configurare il daemon rsyslog in modo da sostituire sysklog.

La configurazione della raccolta Syslog prevede tre passaggi:

  • Configurare il dispositivo o l'appliance Linux. Questo si riferisce al dispositivo in cui verrà installato l'agente di Log Analytics, indipendentemente dal fatto che sia lo stesso dispositivo che ha origine gli eventi o un agente di raccolta log che li inoltra.

  • Configurare le impostazioni di registrazione dell'applicazione corrispondenti al percorso del daemon Syslog che inviano eventi all'agente.

  • Configurare l'agente di Log Analytics stesso. Questa operazione viene eseguita dall'interno di Microsoft Sentinel e la configurazione viene inviata a tutti gli agenti installati.

Prerequisiti

Prima di iniziare, installare la soluzione per Syslog dall'hub del contenuto in Microsoft Sentinel. Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel.

Configurare il computer o l'appliance Linux

  1. Dal menu di spostamento di Microsoft Sentinel selezionare Connettori dati.

  2. Nella raccolta connettori selezionare Syslog e quindi aprire la pagina Del connettore.

    Se il tipo di dispositivo è elencato nella raccolta connettori dati di Microsoft Sentinel, scegliere il connettore per il dispositivo invece del connettore Syslog generico. Se sono disponibili istruzioni aggiuntive o speciali per il tipo di dispositivo, verranno visualizzate, insieme a contenuto personalizzato come cartelle di lavoro e modelli di regole di analisi, nella pagina del connettore per il dispositivo.

  3. Installare l'agente Linux. In Scegliere dove installare l'agente:

    Tipo di computer Istruzioni
    Per una macchina virtuale Linux di Azure 1. Espandere Installa agente nella macchina virtuale Linux di Azure.

    2. Selezionare il collegamento Scarica e installa agente per macchine > virtuali Linux di Azure.

    3. Nel pannello Macchine virtuali selezionare una macchina virtuale in cui installare l'agente e quindi selezionare Connessione. Ripetere questo passaggio per ogni macchina virtuale che si vuole connettere.
    Per qualsiasi altro computer Linux 1. Espandere Installa agente in un computer Linux non Azure

    2. Selezionare il collegamento Scarica e installa agente per computer > Linux non Azure.

    3. Nel pannello Gestione agenti selezionare la scheda Server Linux, quindi copiare il comando per Scaricare ed eseguire l'agente per Linux ed eseguirlo nel computer Linux.

    Se si vuole mantenere una copia locale del file di installazione dell'agente Linux, selezionare il collegamento Scarica agente Linux sopra il comando "Scarica ed esegui l'onboarding dell'agente".

    Nota

    Assicurarsi di configurare le impostazioni di sicurezza per questi dispositivi in base ai criteri di sicurezza dell'organizzazione. Ad esempio, è possibile configurare le impostazioni di rete per allinearsi ai criteri di sicurezza di rete dell'organizzazione e modificare le porte e i protocolli nel daemon in modo che siano allineati ai requisiti di sicurezza.

Uso dello stesso computer per inoltrare messaggi Syslog e CEF normali

È possibile usare il computer di inoltro dei log CEF esistente per raccogliere e inoltrare i log anche da origini Syslog normali. Tuttavia, è necessario eseguire i passaggi seguenti per evitare l'invio di eventi in entrambi i formati a Microsoft Sentinel, in quanto ciò comporterà la duplicazione degli eventi.

Dopo aver già configurato la raccolta dati dalle origini CEF e aver configurato l'agente di Log Analytics:

  1. In ogni computer che invia i log in formato CEF, è necessario modificare il file di configurazione Syslog per rimuovere le funzionalità usate per inviare messaggi CEF. In questo modo, le strutture inviate in CEF non verranno inviate anche in Syslog. Per istruzioni dettagliate su come eseguire questa operazione, vedere Configurare l'agente Syslog in Linux.

  2. È necessario eseguire il comando seguente in tali computer per disabilitare la sincronizzazione dell'agente con la configurazione Syslog in Microsoft Sentinel. In questo modo si garantisce che la modifica di configurazione apportata nel passaggio precedente non venga sovrascritta.

    sudo -u omsagent python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable

Configurare le impostazioni di registrazione del dispositivo

Molti tipi di dispositivo hanno connettori dati personalizzati visualizzati nella raccolta Connettori dati. Alcuni di questi connettori richiedono istruzioni aggiuntive speciali per configurare correttamente la raccolta dei log in Microsoft Sentinel. Queste istruzioni possono includere l'implementazione di un parser basato su una funzione Kusto.

Tutti i connettori elencati nella raccolta visualizzeranno istruzioni specifiche nelle rispettive pagine del connettore nel portale, nonché nelle relative sezioni della pagina di riferimento dei connettori dati di Microsoft Sentinel.

Se le istruzioni nella pagina del connettore dati in Microsoft Sentinel indicano che le funzioni Kusto vengono distribuite come parser ASIM (Advanced Security Information Model), assicurarsi di disporre dei parser ASIM distribuiti nell'area di lavoro.

Usare il collegamento nella pagina del connettore dati per distribuire i parser o seguire le istruzioni del repository GitHub di Microsoft Sentinel.

Per altre informazioni, vedere Parser ASIM (Advanced Security Information Model).

Configurare l'agente di Log Analytics

  1. Nella parte inferiore del pannello del connettore Syslog selezionare il collegamento Apri la configurazione > degli agenti dell'area di lavoro.

  2. Nella pagina Gestione agenti legacy aggiungere le funzionalità per il connettore da raccogliere. Selezionare Aggiungi struttura e scegliere nell'elenco a discesa delle strutture.

    • Aggiungere le funzionalità incluse nell'appliance syslog nelle relative intestazioni di log.

    • Se si vuole usare il rilevamento di accesso SSH anomalo con i dati raccolti, aggiungere l'autenticazione e l'autenticazionepriv. Per altri dettagli, vedere la sezione seguente.

  3. Dopo aver aggiunto tutte le funzionalità da monitorare, deselezionare le caselle di controllo per eventuali gravità che non si desidera raccogliere. Per impostazione predefinita, sono tutti contrassegnati.

  4. Selezionare Applica.

  5. Nella macchina virtuale o nell'appliance assicurarsi di inviare le funzionalità specificate.

Trovare i dati

  1. Per eseguire query sui dati del log syslog in Log, digitare Syslog nella finestra di query.

    Alcuni connettori che usano il meccanismo Syslog potrebbero archiviare i dati in tabelle diverse da Syslog. Consultare la sezione del connettore nella pagina di riferimento dei connettori dati di Microsoft Sentinel.

  2. È possibile usare i parametri di query descritti in Uso delle funzioni nelle query di log di Monitoraggio di Azure per analizzare i messaggi Syslog. È quindi possibile salvare la query come nuova funzione di Log Analytics e usarla come nuovo tipo di dati.

Configurare il connettore Syslog per il rilevamento anomalo dell'accesso SSH

Importante

Il rilevamento dell'accesso SSH anomalo è attualmente disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Microsoft Sentinel può applicare Machine Learning (ML) ai dati syslog per identificare le attività di accesso SSH (Secure Shell) anomale. Alcuni scenari includono:

  • Spostamento impossibile: quando si verificano due eventi di accesso riusciti da due posizioni impossibili da raggiungere entro l'intervallo di tempo dei due eventi di accesso.

  • Posizione imprevista: il percorso da cui si è verificato un evento di accesso riuscito è sospetto. Ad esempio, la posizione non è stata rilevata di recente.

Questo rilevamento richiede una configurazione specifica del connettore dati Syslog:

  1. Per il passaggio 2 in Configurare l'agente di Log Analytics precedente, assicurarsi che sia l'autenticazioneche l'autorizzazionepriv siano selezionate come funzionalità da monitorare e che siano selezionate tutte le gravità.

  2. Tempo sufficiente per la raccolta delle informazioni syslog. Passare quindi a Microsoft Sentinel - Log e copiare e incollare la query seguente:

    Syslog
| where Facility in ("authpriv","auth")
| extend c = extract( "Accepted\\s(publickey|password|keyboard-interactive/pam)\\sfor ([^\\s]+)",1,SyslogMessage)
| where isnotempty(c)
| count

    Modificare l'intervallo di tempo, se necessario, e selezionare Esegui.

    Se il conteggio risultante è zero, verificare la configurazione del connettore e che i computer monitorati abbiano esito positivo dell'attività di accesso per il periodo di tempo specificato per la query.

    Se il conteggio risultante è maggiore di zero, i dati syslog sono adatti per il rilevamento anomalo dell'accesso SSH. È possibile abilitare questo rilevamento dai modelli> di regola di analisi>(anteprima) Rilevamento accessi SSH anomali.

Passaggi successivi

In questo documento si è appreso come connettere appliance locali Syslog a Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti: