Condividi tramite


[Deprecato] OSSEC tramite il connettore Legacy Agent per Microsoft Sentinel

Importante

La raccolta di log da molti dispositivi e appliance è ora supportata da Common Event Format (CEF) tramite AMA, syslog tramite AMA o log personalizzati tramite il connettore dati AMA in Microsoft Sentinel. Per altre informazioni, vedere Trovare il connettore dati di Microsoft Sentinel.

Il connettore dati OSSEC offre la possibilità di inserire eventi OSSEC in Microsoft Sentinel. Per altre informazioni, vedere la documentazione di OSSEC.

Attributi connettore

Attributo connettore Descrizione
Tabelle Log Analytics CommonSecurityLog (OSSEC)
Supporto regole di raccolta dati Trasformazione area di lavoro DCR
Supportata da: Microsoft Corporation

Esempi di query

Prime 10 regole

OSSECEvent

| summarize count() by RuleName

| top 10 by count_

Istruzioni per l’installazione di Vendor

Nota

Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto, che viene distribuito come parte della soluzione. Per visualizzare il codice della funzione in Log Analytics, aprire il pannello Log Analytics/Log di Microsoft Sentinel, fare clic su Funzioni e cercare l'alias OSSEC e caricare il codice della funzione oppure fare clic qui, nella seconda riga della query immettere i nomi host dei dispositivi OSSEC e qualsiasi altro identificatore univoco per il logstream. La funzione richiede in genere 10-15 minuti per l'attivazione dopo l'installazione/aggiornamento della soluzione.

  1. Configurazione dell'agente di Syslog per Linux

Installare e configurare l'agente Linux per raccogliere i messaggi Syslog di Common Event Format (CEF) e inoltrarli a Microsoft Sentinel.

Si noti che i dati da tutte le aree verranno archiviati nell'area di lavoro selezionata

1.1 Selezionare o creare una macchina virtuale Linux

Selezionare o creare una macchina virtuale Linux che Microsoft Sentinel userà come proxy tra la soluzione di sicurezza e Microsoft Sentinel. La macchina virtuale può risiedere nell'ambiente locale, in Azure o in altri cloud.

1.2 Installare l'agente di raccolta CEF nel computer Linux

Installare Microsoft Monitoring Agent nel computer Linux, configurare il computer per l'ascolto sulla porta necessaria e inoltrare i messaggi all'area di lavoro di Microsoft Sentinel. L'agente di raccolta CEF raccoglie messaggi CEF sulla porta 514 TCP.

  1. Verificare che Python sia installato nel computer usando il comando seguente: python -version.
  1. È necessario disporre di autorizzazioni elevate (sudo) nel computer.

Eseguire il comando seguente per installare e applicare l'agente di raccolta CEF:

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Inoltrare log in formato CEF (Common Event Format) all'agente di Syslog

Seguire questa procedura per configurare l'invio di avvisi da PARTE di OSSEC tramite syslog.

  1. Convalida connessione

Seguire le istruzioni per convalidare la connettività:

Aprire Log Analytics per verificare se i log vengono ricevuti usando lo schema CommonSecurityLog.

Lo streaming dei dati nell'area di lavoro da parte della connessione potrebbe richiedere circa 20 minuti.

Se i log non vengono ricevuti, eseguire lo script di convalida della connettività seguente:

  1. Verificare che Python sia installato nel computer usando il comando seguente: python -version
  1. È necessario disporre di autorizzazioni elevate (sudo) nel computer

Eseguire il comando seguente per convalidare la connettività:

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. Proteggere il computer

Assicurarsi di configurare la sicurezza del computer in base ai criteri di sicurezza dell'organizzazione

Altre informazioni>

Passaggi successivi

Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.