Inserire messaggi Syslog e CEF in Microsoft Sentinel con l'agente di Monitoraggio di Azure

Questo articolo descrive come usare Syslog tramite l’agente di Monitoraggio di Azure e Common Event Format (CEF) tramite connettori dell’agente di Monitoraggio di Azure per filtrare e inserire rapidamente messaggi Syslog, tra cui i messaggi in Common Event Format (CEF), da computer Linux e da dispositivi e appliance dispositivi di sicurezza e di rete. Per altre informazioni su questi connettori dati, vedere Syslog e Common Event Format (CEF) tramite connettori dell’agente di Monitoraggio di Azure per Microsoft Sentinel.

Nota

Container Insights supporta ora la raccolta automatica di eventi Syslog dai nodi Linux nei cluster del servizio Azure Kubernetes. Per altre informazioni, vedere Raccolta Syslog con Container Insights.

Prerequisiti

Prima di iniziare, è necessario avere le risorse configurate e le autorizzazioni appropriate descritte in questa sezione.

Prerequisiti di Microsoft Sentinel

Per Microsoft Sentinel, installare la soluzione appropriata e assicurarsi di avere le autorizzazioni necessarie per completare i passaggi descritti in questo articolo.

• Installare la soluzione appropriata: Syslog e/o Common Event Format dall'hub contenuti in Microsoft Sentinel. Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel.

• L'account Azure deve avere i ruoli di controllo degli accessi in base al ruolo di Azure seguenti:

  Ruolo predefinito	Ambito	Motivo
  - Collaboratore macchine virtuali - Azure Connected Machine    Amministratore risorse	Macchine virtuali (VM) Set di scalabilità di macchine virtuali Server con abilitazione di Azure Arc	Per distribuire l'agente
  Qualsiasi ruolo che includa l'azione Microsoft.Resources/deployments/*	Subscription Gruppo di risorse Regola di raccolta dati esistente	Per implementare modelli di Azure Resource Manager
  Collaboratore al monitoraggio	Subscription Gruppo di risorse Regola di raccolta dati esistente	Per creare o modificare le regole di raccolta dati

Prerequisiti del server d'inoltro dei log

Se si raccolgono messaggi da un server d'inoltro dei log, si applicano i prerequisiti seguenti:

• Per raccogliere i log, è necessario disporre di una macchina virtuale Linux designata come server d'inoltro dei log.

  • Creare una macchina virtuale Linux nel portale di Azure.
  • Sistemi operativi Linux supportati per l'agente di Monitoraggio di Azure.

• Se il server d'inoltro dei log non è una macchina virtuale di Azure, deve essere installato l'agente Connected Machine di Azure Arc.

• La macchina virtuale del server d'inoltro dei log Linux deve avere Python 2.7 o 3 installato. Usare il comando python --version o python3 --version per eseguire la verifica. Se si usa Python 3, assicurarsi che sia impostato come comando predefinito nel computer, oppure eseguire script con il comando "python3" anziché "python".

• Il server d'inoltro dei log deve avere il daemon syslog-ng o rsyslog abilitato.

• Per i requisiti di spazio per il server d'inoltro dei log, vedere il benchmark delle prestazioni dell'agente di Monitoraggio di Azure. È anche possibile esaminare questo post di blog, che include progettazioni per l'inserimento scalabile.

• Le origini di log, i dispositivi di sicurezza e le appliance devono essere configurati per inviare i messaggi di log al daemon Syslog del server d’inoltro dei log anziché al daemon Syslog locale.

Prerequisiti di sicurezza del computer

Configurare la sicurezza del computer in base ai criteri di sicurezza dell'organizzazione. Ad esempio, configurare la rete in modo da allinearla ai criteri di sicurezza della rete aziendale e modificare le porte e i protocolli nel daemon in modo che siano allineati ai requisiti. Per migliorare la configurazione della sicurezza dei computer, proteggere la macchina virtuale in Azure o esaminare queste procedure consigliate per la sicurezza di rete.

Se i dispositivi inviano log Syslog e CEF tramite TLS perché, ad esempio, il server d'inoltro dei log si trova nel cloud, è necessario configurare il daemon Syslog (rsyslog o syslog-ng) per comunicare in TLS. Per altre informazioni, vedi:

• Crittografare il traffico Syslog con TLS - rsyslog
• Crittografare i messaggi di log con TLS - syslog-ng

Configurare il connettore dati

Il processo di installazione per Syslog tramite agente di Monitoraggio di Azure (AMA) o CEF (Common Event Format) tramite i connettori dati AMA include i passaggi seguenti:

1. Installare l'agente di Monitoraggio di Azure e creare una regola di raccolta dati usando uno dei metodi seguenti:
   • Portale di Azure o Defender
   • API di inserimento log di Monitoraggio di Azure
2. Se si raccolgono log da altri computer usando un server d'inoltro dei log, eseguire lo script di "installazione" nel server d'inoltro dei log per configurare il daemon Syslog per l'ascolto dei messaggi da altri computer e per aprire le porte locali necessarie.

Selezionare la scheda appropriata per le istruzioni.

Portale di Azure o Defender

Crea regola di raccolta dati

Per iniziare, aprire il connettore dati in Microsoft Sentinel e creare una regola del connettore dati.

1. Per Microsoft Sentinel nel portale di Azure, in Configurazione, selezionare Connettori dati.
   Per Microsoft Sentinel, nel portale di Defender selezionare Microsoft Sentinel>Configurazione>Connettori dati.

2. Per Syslog, digitare Syslog nella casella Ricerca. Dai risultati selezionare il connettore Syslog tramite AMA.
   Per CEF, digitare CEF nella casella Ricerca. Dai risultati selezionare il connettore Common Event Format (CEF) tramite AMA.

3. Selezionare Apri la pagina del connettore nel riquadro dei dettagli.

4. Nell'area Configurazione, selezionare+Crea regola di raccolta dati.

   

   

5. Nella scheda Impostazioni generali:

   • Digitare un nome DCR.
   • Selezionare la propria sottoscrizione.
   • Selezionare il gruppo di risorse in cui individuare il DCR.

   

6. Selezionare Avanti: Risorse>.

Definire le risorse della macchina virtuale

Nella scheda Risorse selezionare i computer in cui si vuole installare l'AMA, in questo caso il computer d’inoltro dei log. Se il server d'inoltro dei log non viene visualizzato nell'elenco, potrebbe non essere installato l'agente di Azure Connected Machine.

1. Usare i filtri o la casella di ricerca disponibili per trovare la macchina virtuale del server d'inoltro dei log. Espandere una sottoscrizione nell'elenco per visualizzare i gruppi di risorse, poi un gruppo di risorse per visualizzare le macchine virtuali.

2. Selezionare la macchina virtuale del server d'inoltro dei log in cui si vuole installare l'AMA. La casella di controllo viene visualizzata accanto al nome della macchina virtuale quando si passa il puntatore del mouse su di essa.

   

3. Esaminare le modifiche e selezionare Avanti: Raccogliere>.

Selezionare strutture e gravità

Tenere presente che l'uso della stessa struttura per i messaggi Syslog e CEF potrebbe comportare la duplicazione dell'inserimento dati. Per altre informazioni, vedere Prevenzione della duplicazione dell'inserimento dati.

1. Nella scheda Raccogli, selezionare il livello di log minimo per ogni funzionalità. Quando si seleziona un livello di log, Microsoft Sentinel raccoglie i log per il livello selezionato e altri livelli con gravità più elevata. Ad esempio, se si seleziona LOG_ERR, Microsoft Sentinel raccoglie i log per i livelli di LOG_ERR, LOG_CRIT, LOG_ALERT e LOG_EMERG.

   

2. Rivedere le selezioni, quindi selezionare Avanti: Rivedi e crea.

Rivedere e creare la regola

Dopo aver completato tutte le schede, esaminare gli elementi inseriti e creare la regola di raccolta dati.

1. Nella scheda Rivedi e crea, selezionare Crea.

   

   Il connettore installa l'agente di Monitoraggio di Azure nei computer selezionati durante la creazione del DCR.

2. Controllare le notifiche nel portale di Azure o nel portale di Microsoft Defender per verificare quando viene creato il DCR e l'agente è installato.

3. Selezionare Aggiorna nella pagina del connettore per visualizzare il DCR presente nell'elenco.

API di inserimento dei log

Installare l'gente di Monitoraggio di Azure

Seguire le istruzioni appropriate nella documentazione di Monitoraggio di Azure per installare l'agente di Monitoraggio di Azure nel server d'inoltro dei log. Ricordarsi di usare le istruzioni per Linux, non per Windows.

• Installare l'AMA con PowerShell
• Installare l'AMA usando l'interfaccia della riga di comando di Azure
• Installare l'AMA usando un modello di Azure Resource Manager

È possibile creare regole di raccolta dati (DCR) usando l'API inserimento log di Monitoraggio di Azure. Per altre informazioni, vedere Regole di raccolta dati in Monitoraggio di Azure.

Creare la regola di raccolta dati

Creare un file JSON per la regola di raccolta dati, creare una richiesta API e inviare la richiesta.

1. Preparare un file DCR in formato JSON. Il contenuto di questo file è il corpo della richiesta nella richiesta API.

   Per un esempio, vedere Corpo della richiesta di creazione DCR Syslog/CEF. Per raccogliere messaggi Syslog e CEF nella stessa regola di raccolta dati, vedere l'esempio di Flussi Syslog e CEF nello stesso DCR.

   • Verificare che il campo streams sia impostato su Microsoft-Syslog per i messaggi Syslog o su Microsoft-CommonSecurityLog per i messaggi CEF.
   • Aggiungere i livelli di filtro e log delle strutture nei parametri facilityNames e logLevels. Vedere Esempi di sezioni su strutture e livelli di log.

2. Creare una richiesta API in un client API REST a scelta.

   1. Per l'URL e l'intestazione della richiesta, copiare l'URL e l'intestazione della richiesta seguenti.

      PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2022-06-01
      

      • Sostituire i valori appropriati nei segnaposto {subscriptionId} e {resourceGroupName}.
      • Immettere un nome di propria scelta per il DCR al posto del segnaposto {dataCollectionRuleName}.

   2. Per il corpo della richiesta, copiare e incollare il contenuto del file JSON DCR creato (nel passaggio 1 precedente) nel corpo della richiesta.

3. Inviare la richiesta.

   Per un esempio della risposta che si dovrebbe ricevere, vedere Risposta di creazione del DCR Syslog/CEF.

Associare il DCR al server d'inoltro dei log

È ora necessario creare un'associazione DCR (DCRA) che colleghi il DCR alla risorsa della macchina virtuale che ospita il server d'inoltro dei log.

1. Creare una richiesta API in un client API REST a scelta.

2. Per l'URL e l'intestazione della richiesta, copiare l'URL e l'intestazione della richiesta seguenti.

   PUT 
   https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{virtualMachineName}/providers/Microsoft.Insights/dataCollectionRuleAssociations/{dataCollectionRuleAssociationName}?api-version=2022-06-01
   

   • Sostituire i valori appropriati nei segnaposto {subscriptionId}, {resourceGroupName} e {virtualMachineName}.
   • Immettere un nome di propria scelta per il DCR al posto del segnaposto {dataCollectionRuleAssociationName}.

3. Per il corpo della richiesta, copiare il corpo della richiesta seguente.

   {
     "properties": {
       "dataCollectionRuleId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}"
     }
   }
   

   • Sostituire i valori appropriati nei segnaposto {subscriptionId} e {resourceGroupName}.
   • Immettere un nome di propria scelta per il DCR al posto del segnaposto {dataCollectionRuleName}.

4. Inviare la richiesta.

Esempi di sezioni su strutture e livelli di log

Esaminare questi esempi delle impostazioni relative alle strutture e ai livelli di log. Il campo name include il nome del filtro.

Per l'inserimento di messaggi CEF, il valore di "streams" deve essere "Microsoft-CommonSecurityLog" invece di "Microsoft-Syslog".

Questo esempio raccoglie gli eventi dalle strutture cron, daemon, local0, local3 e uucp, con i livelli di log Warning, Error, Critical, Alert e Emergency:

    "dataSources": {
      "syslog": [
        {
        "name": "SyslogStream0",
        "streams": [
          "Microsoft-Syslog"
        ],
        "facilityNames": [ 
          "cron",
          "daemon",
          "local0",
          "local3", 
          "uucp"
        ],
        "logLevels": [ 
          "Warning", 
          "Error", 
          "Critical", 
          "Alert", 
          "Emergency"
        ]
      }
    ]
  }

Flussi Syslog e CEF nello stesso DCR

Questo esempio mostra come raccogliere messaggi Syslog e CEF nello stesso DCR.

Il DCR raccoglie i messaggi di evento CEF per:

• Le strutture authpriv e mark con i livelli di log Info, Notice, Warning, Error, Critical, Alert e Emergency
• La struttura daemon con i livelli di log Warning, Error, Critical, Alert e Emergency

Raccoglie i messaggi di evento Syslog per:

• Le strutture kern, local0, local5 e news con i livelli di log Critical, Alert e Emergency
• Le strutture mail e uucp con il livello di log Emergency

    "dataSources": {
      "syslog": [
        {
          "name": "CEFStream1",
          "streams": [ 
            "Microsoft-CommonSecurityLog"
          ],
          "facilityNames": [ 
            "authpriv", 
            "mark"
          ],
          "logLevels": [
            "Info",
            "Notice", 
            "Warning", 
            "Error", 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "CEFStream2",
          "streams": [ 
            "Microsoft-CommonSecurityLog"
          ],
          "facilityNames": [ 
            "daemon"
          ],
          "logLevels": [ 
            "Warning", 
            "Error", 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "SyslogStream3",
          "streams": [ 
            "Microsoft-Syslog"
          ],
          "facilityNames": [ 
            "kern",
            "local0",
            "local5", 
            "news"
          ],
          "logLevels": [ 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "SyslogStream4",
          "streams": [ 
            "Microsoft-Syslog"
          ],
          "facilityNames": [ 
            "mail",
            "uucp"
          ],
          "logLevels": [ 
            "Emergency"
          ]
        }
      ]
    }

Eseguire lo script di “installazione”

Se si usa un server d'inoltro dei log, configurare il daemon Syslog per l'ascolto dei messaggi da altri computer e aprire le porte locali necessarie.

1. Dalla pagina del connettore, copiare la riga di comando visualizzata in Esegui il comando seguente per installare e applicare l'agente di raccolta CEF:

   

   In alternativa, copiarla da qui:

   sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python Forwarder_AMA_installer.py
   

2. Accedere al computer del server d'inoltro dei log in cui è stato appena installato l'AMA.

3. Incollare il comando copiato nell'ultimo passaggio per avviare lo script di installazione.
   Lo script configura il daemon rsyslog o syslog-ng per l'uso del protocollo richiesto e riavvia il daemon. Lo script apre la porta 514 per ascoltare i messaggi in ingresso nei protocolli UDP e TCP. Per modificare questa impostazione, fare riferimento al file di configurazione del daemon Syslog in base al tipo di daemon in esecuzione nel computer:

   • Rsyslog: /etc/rsyslog.conf
   • Syslog-ng: /etc/syslog-ng/syslog-ng.conf

   Se si usa Python 3 e non è impostato come comando predefinito nel computer, sostituire python3 con python nel comando incollato. Vedere Prerequisiti del server d'inoltro dei log.

   Nota

   Per evitare scenari con disco completo in cui l'agente non può funzionare, è consigliabile impostare la configurazione syslog-ng o rsyslog per non archiviare i log se non è necessario. Uno scenario full disk interrompe la funzione dell'agente di Monitoraggio di Azure installato. Per altre informazioni, vedere RSyslog o Syslog-ng.

Testare il connettore

Verificare che i messaggi del computer Linux o dei dispositivi e delle appliance di sicurezza vengano inseriti in Microsoft Sentinel.

1. Per convalidare che il daemon Syslog sia in esecuzione sulla porta UDP e che l’AMA sia in ascolto, eseguire questo comando:

   netstat -lnptv
   

   Verrà visualizzato il daemon rsyslog o syslog-ng in ascolto sulla porta 514.

2. Per acquisire i messaggi inviati da un logger o da un dispositivo connesso, eseguire questo comando in background:

   tcpdump -i any port 514 -A -vv &
   

3. Dopo aver completato la convalida, è consigliabile arrestare la tcpdump:digitazione fg e selezionare Ctrl+C.

4. Per inviare messaggi demo, completare i passaggi seguenti:

   • Usare l'utilità netcat. In questo esempio, l'utilità legge i dati inviati tramite il comando echo con l'opzione di nuova riga disattivata. L'utilità scrive quindi i dati nella porta UDP 514 in localhost senza timeout. Per eseguire l'utilità netcat, potrebbe essere necessario installare un altro pacchetto.

     echo -n "<164>CEF:0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time" | nc -u -w0 localhost 514
     

   • Usare il logger. Questo esempio scrive il messaggio nella struttura local 4, a livello di gravità Warning, nella porta 514, nell'host locale, nel formato RFC CEF. I flag -t e --rfc3164 vengono usati per rispettare il formato RFC previsto.

     logger -p local4.warn -P 514 -n 127.0.0.1 --rfc3164 -t CEF "0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time"
     

5. Per verificare che il connettore sia installato correttamente, eseguire lo script di risoluzione dei problemi con uno di questi comandi:

   • Per i log CEF, eseguire:

      sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --cef
     

   • Per i log di Cisco Adaptive Security Appliance (ASA), eseguire:

     sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --asa
     

   • Per i log di Cisco Firepower Threat Defense (FTD), eseguire:

     sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --ftd
     

Contenuto correlato

• Syslog e Common Event Format (CEF) tramite connettori dell’agente di Monitoraggio di Azure per Microsoft Sentinel
• Regole di raccolta dati in Monitoraggio di Azure