Distribuire un server d'inoltro log per inserire i log Syslog e CEF in Microsoft Sentinel

Attenzione

Questo articolo fa riferimento a CentOS, una distribuzione Linux prossima allo stato EOL (End of Life, fine del ciclo di vita). Valutare l'uso e la pianificazione di conseguenza. Per altre informazioni, vedere le linee guida per la fine della vita di CentOS.

Per inserire i log Syslog e CEF in Microsoft Sentinel, in particolare da dispositivi e appliance in cui non è possibile installare direttamente l'agente di Log Analytics, è necessario designare e configurare un computer Linux che raccoglierà i log dai dispositivi e li invierà all'area di lavoro di Microsoft Sentinel. Questo computer può essere una macchina fisica o virtuale nell'ambiente locale, in una macchina virtuale di Azure o in una macchina virtuale in un altro cloud.

Questo computer ha due componenti che partecipano a questo processo:

• Un daemon syslog, rsyslog o syslog-ng, che raccoglie i log.
• Agente di Log Analytics (noto anche come agente OMS) che inoltra i log a Microsoft Sentinel.

Usando il collegamento fornito di seguito, si eseguirà uno script nel computer designato che esegue le attività seguenti:

• Installa l'agente di Log Analytics per Linux (noto anche come agente OMS) e lo configura per gli scopi seguenti:

  • ascolto dei messaggi CEF dal daemon Syslog di Linux incorporato sulla porta TCP 25226
  • invio sicuro dei messaggi tramite TLS all'area di lavoro di Microsoft Sentinel, in cui vengono analizzati e arricchiti

• Configura il daemon Syslog di Linux predefinito (rsyslog. d/syslog-ng) per gli scopi seguenti:

  • ascolto dei messaggi Syslog dalle soluzioni di sicurezza sulla porta TCP 514
  • inoltro dei soli messaggi identificati come CEF all'agente di Log Analytics su localhost usando la porta TCP 25226

Importante

L'agente di Log Analytics verrà ritirato il 31 agosto 2024. Se si usa l'agente di Log Analytics nella distribuzione di Microsoft Sentinel, è consigliabile iniziare a pianificare la migrazione all'ama. Per altre informazioni, vedere Migrazione ama per Microsoft Sentinel.

Per informazioni sulla distribuzione dei log Syslog e/o CEF con l'agente di Monitoraggio di Azure, vedere le opzioni per lo streaming dei log nel formato CEF e Syslog in Microsoft Sentinel.

Prerequisiti

Ogni connettore dati ha un proprio set di prerequisiti. I prerequisiti possono includere che siano necessarie autorizzazioni specifiche per l'area di lavoro, la sottoscrizione o i criteri di Azure. In alternativa, è necessario soddisfare altri requisiti per l'origine dati partner a cui ci si connette.

I prerequisiti per ogni connettore dati sono elencati nella pagina del connettore dati pertinente in Microsoft Sentinel.

Installare la soluzione del prodotto dall'hub contenuto in Microsoft Sentinel. Se il prodotto non è elencato, installare la soluzione per Common Event Format. Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel.

Importante

Le versioni del sistema operativo possono avere date di supporto e cicli di vita diversi. È consigliabile controllare la documentazione ufficiale di ogni distribuzione per ottenere il supporto più accurato e aggiornato e le date di fine vita.

Il computer deve soddisfare i requisiti seguenti:

• Hardware (fisico/virtuale)

  • Il computer Linux deve avere almeno 4 core CPU e 8 GB di RAM.

    Nota

    • Un singolo computer di inoltro log con la configurazione hardware precedente e l'uso del daemon rsyslog ha una capacità supportata di un massimo di 8500 eventi al secondo (EPS).

• Sistema operativo

  • CentOS 7 e 8 (non 6), incluse le versioni secondarie (64 bit/32 bit)
  • Amazon Linux 2 (solo a 64 bit)
  • Oracle Linux 7, 8 (64 bit/32 bit)
  • Red Hat Enterprise Linux (RHEL) Server 7 e 8 (non 6), incluse le versioni secondarie (a 64 bit/32 bit)
  • Debian GNU/Linux 8 e 9 (64 bit/32 bit)
  • Ubuntu Linux 20.04 LTS (solo 64 bit)
  • SU edizione Standard Linux Enterprise Server 12, 15 (solo a 64 bit)

• Versioni del daemon

  • Rsyslog: v8
  • Syslog-ng: 2.1 - 3.22.1

• Pacchetti

  • È necessario avere Python 2.7 o 3 installato nel computer Linux.
    Usare il python --version comando o python3 --version per controllare.
  • È necessario avere il pacchetto GNU Wget .

• Supporto RFC syslog

  • RFC Syslog 3164
  • RFC Syslog 5424

• Configurazione

  • È necessario disporre di autorizzazioni elevate (sudo) nel computer Linux designato.
  • Il computer Linux non deve essere connesso ad alcuna area di lavoro di Azure prima di installare l'agente di Log Analytics.

• Dati

  • Potrebbe essere necessario l'ID area di lavoro e la chiave primaria dell'area di lavoro di Microsoft Sentinel a un certo punto in questo processo. È possibile trovarli nelle impostazioni dell'area di lavoro, in Gestione agenti.

Considerazioni sulla sicurezza

Assicurarsi di configurare la sicurezza del computer in base ai criteri di sicurezza dell'organizzazione. Ad esempio, è possibile configurare la rete in modo che sia allineata ai criteri di sicurezza della rete aziendale e modificare le porte e i protocolli nel daemon in modo che siano allineati ai requisiti. È possibile usare le istruzioni seguenti per migliorare la configurazione di sicurezza del computer: Proteggere la macchina virtuale in Azure, Procedure consigliate per la sicurezza di rete.

Se i dispositivi inviano log Syslog e CEF su TLS (perché, ad esempio, il server d'inoltro dei log si trova nel cloud), sarà necessario configurare il daemon Syslog (rsyslog o syslog-ng) per comunicare in TLS. Per informazioni dettagliate, vedere la documentazione seguente:

• Crittografia del traffico Syslog con TLS - rsyslog
• Crittografia dei messaggi di log con TLS - syslog-ng

Eseguire lo script di distribuzione

1. In Microsoft Sentinel selezionare Connettori dati.

2. Selezionare il connettore per il prodotto dalla raccolta connettori. Se il prodotto non è elencato, selezionare Common Event Format (CEF).

3. Nel riquadro dei dettagli per il connettore selezionare Apri pagina connettore.

4. Nella pagina del connettore, nelle istruzioni riportate in 1.2 Installare l'agente di raccolta CEF nel computer Linux, copiare il collegamento fornito in Eseguire lo script seguente per installare e applicare l'agente di raccolta CEF.
   Se non si ha accesso a tale pagina, copiare il collegamento dal testo seguente (copiando e incollando l'ID area di lavoro e la chiave primaria dall'alto al posto dei segnaposto):

   sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [WorkspaceID] [Workspace Primary Key]
   

5. Incollare il collegamento o il testo nella riga di comando nel server d'inoltro del log ed eseguirlo.

6. Durante l'esecuzione dello script, verificare di non ricevere messaggi di errore o di avviso.

   • È possibile che venga visualizzato un messaggio che indica di eseguire un comando per correggere un problema relativo al mapping del campo Computer . Per informazioni dettagliate, vedere la spiegazione nello script di distribuzione.

7. Configurare il dispositivo per l'invio di messaggi CEF.

   Nota

   Uso dello stesso computer per inoltrare messaggi Syslog e CEF normali

   Se si prevede di usare questo computer di inoltro dei log per inoltrare messaggi Syslog e CEF, per evitare la duplicazione degli eventi nelle tabelle Syslog e CommonSecurityLog:

   1. In ogni computer di origine che invia i log al server d'inoltro in formato CEF, è necessario modificare il file di configurazione Syslog per rimuovere le funzionalità usate per inviare messaggi CEF. In questo modo, le strutture inviate in CEF non verranno inviate anche in Syslog. Per istruzioni dettagliate su come eseguire questa operazione, vedere Configurare l'agente Syslog in Linux.

   2. È necessario eseguire il comando seguente in tali computer per disabilitare la sincronizzazione dell'agente con la configurazione Syslog in Microsoft Sentinel. In questo modo si garantisce che la modifica di configurazione apportata nel passaggio precedente non venga sovrascritta.
      sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'

Spiegazione dello script di distribuzione

Di seguito è riportata una descrizione comando per comando delle azioni dello script di distribuzione.

Scegliere un daemon syslog per visualizzare la descrizione appropriata.

daemon rsyslog

1. Download e installazione dell'agente di Log Analytics:

   • Scarica lo script di installazione per l'agente Linux di Log Analytics (OMS).

     wget -O onboard_agent.sh https://raw.githubusercontent.com/Microsoft/OMS-Agent-for-Linux/
         master/installer/scripts/onboard_agent.sh
     

   • Installa l'agente di Log Analytics.

     sh onboard_agent.sh -w [workspaceID] -s [Primary Key] -d opinsights.azure.com
     

2. Impostazione della configurazione dell'agente di Log Analytics per l'ascolto sulla porta 25226 e inoltro dei messaggi CEF a Microsoft Sentinel:

   • Scarica la configurazione dal repository GitHub dell'agente di Log Analytics.

     wget -O /etc/opt/microsoft/omsagent/[workspaceID]/conf/omsagent.d/security_events.conf
         https://raw.githubusercontent.com/microsoft/OMS-Agent-for-Linux/master/installer/conf/
         omsagent.d/security_events.conf
     

3. Configurazione del daemon Syslog:

   • Apre la porta 514 per la comunicazione TCP usando il file /etc/rsyslog.confdi configurazione syslog .

   • Configura il daemon per inoltrare i messaggi CEF all'agente di Log Analytics sulla porta TCP 25226, inserendo un file security-config-omsagent.conf di configurazione speciale nella directory /etc/rsyslog.d/del daemon syslog .

     Contenuto del security-config-omsagent.conf file:

     if $rawmsg contains "CEF:" or $rawmsg contains "ASA-" then @@127.0.0.1:25226 
     

4. Riavvio del daemon Syslog e dell'agente di Log Analytics:

   • Riavvia il daemon rsyslog.

     service rsyslog restart
     

   • Riavvia l'agente di Log Analytics.

     /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

5. Verifica del mapping del campo Computer come previsto:

   • Verifica che il campo Computer nell'origine syslog sia mappato correttamente nell'agente di Log Analytics usando il comando seguente:

     grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb
     

   • Se si verifica un problema con il mapping, lo script genererà un messaggio di errore che indica di eseguire manualmente il comando seguente (applicando l'ID dell'area di lavoro al posto del segnaposto). Il comando garantisce il mapping corretto e riavvia l'agente.

     sudo sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

syslog-ng daemon

1. Download e installazione dell'agente di Log Analytics:

   • Scarica lo script di installazione per l'agente Linux di Log Analytics (OMS).

     wget -O onboard_agent.sh https://raw.githubusercontent.com/Microsoft/OMS-Agent-for-Linux/
         master/installer/scripts/onboard_agent.sh
     

   • Installa l'agente di Log Analytics.

     sh onboard_agent.sh -w [workspaceID] -s [Primary Key] -d opinsights.azure.com
     

2. Impostazione della configurazione dell'agente di Log Analytics per l'ascolto sulla porta 25226 e inoltro dei messaggi CEF a Microsoft Sentinel:

   • Scarica la configurazione dal repository GitHub dell'agente di Log Analytics.

     wget -O /etc/opt/microsoft/omsagent/[workspaceID]/conf/omsagent.d/security_events.conf
         https://raw.githubusercontent.com/microsoft/OMS-Agent-for-Linux/master/installer/conf/
         omsagent.d/security_events.conf
     

3. Configurazione del daemon Syslog:

   • Apre la porta 514 per la comunicazione TCP usando il file /etc/syslog-ng/syslog-ng.confdi configurazione syslog .

   • Configura il daemon per inoltrare i messaggi CEF all'agente di Log Analytics sulla porta TCP 25226, inserendo un file security-config-omsagent.conf di configurazione speciale nella directory /etc/syslog-ng/conf.d/del daemon syslog .

     Contenuto del security-config-omsagent.conf file:

     filter f_oms_filter {match("CEF\|ASA" ) ;};destination oms_destination {tcp("127.0.0.1" port(25226));};
     log {source(s_src);filter(f_oms_filter);destination(oms_destination);};
     

4. Riavvio del daemon Syslog e dell'agente di Log Analytics:

   • Riavvia il daemon syslog-ng.

     service syslog-ng restart
     

   • Riavvia l'agente di Log Analytics.

     /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

5. Verifica del mapping del campo Computer come previsto:

   • Verifica che il campo Computer nell'origine syslog sia mappato correttamente nell'agente di Log Analytics usando il comando seguente:

     grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb
     

   • Se si verifica un problema con il mapping, lo script genererà un messaggio di errore che indica di eseguire manualmente il comando seguente (applicando l'ID dell'area di lavoro al posto del segnaposto). Il comando garantisce il mapping corretto e riavvia l'agente.

     sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

Passaggi successivi

In questo documento si è appreso come distribuire l'agente di Log Analytics per connettere le appliance CEF a Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:

• Informazioni sul mapping dei campi CEF e CommonSecurityLog.
• Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
• Introduzione al rilevamento delle minacce con Microsoft Sentinel.