Connettere la soluzione esterna usando il connettore Common Event Format
È necessario designare e configurare un computer Linux per l'inoltro dei log dalla soluzione di sicurezza all'area di lavoro di Microsoft Sentinel. Questo computer può essere fisico o virtuale nell'ambiente locale, in una macchina virtuale di Azure o in una macchina virtuale in un altro cloud. Usando il collegamento fornito, viene eseguito uno script nel computer designato che esegue le attività seguenti:
Installa l'agente di Log Analytics per Linux (noto anche come agente OMS) e lo configura per gli scopi seguenti:
Ascolto dei messaggi CEF dal daemon Syslog di Linux incorporato sulla porta TCP 25226
Invio sicuro dei messaggi tramite TLS all'area di lavoro di Microsoft Sentinel, in cui vengono analizzati e arricchiti
Configura il daemon Syslog di Linux predefinito (rsyslog. d/syslog-ng) per gli scopi seguenti:
Ascolto dei messaggi Syslog dalle soluzioni di sicurezza sulla porta TCP 514
Inoltro dei soli messaggi identificati come CEF all'agente di Log Analytics su localhost usando la porta TCP 25226
Eseguire lo script di distribuzione
Per visualizzare la pagina del connettore:
Selezionare la pagina Connettori dati.
Selezionare Common Event Format (CEF).
Selezionare la pagina Apri connettore nel riquadro di anteprima.
Verificare di disporre delle autorizzazioni appropriate, come descritto nella sezione Prerequisiti.
Copiare il comando "sudo wget..." ed eseguirlo con autorizzazioni elevate sulla macchina virtuale Linux dedicata.
Uso dello stesso computer per inoltrare messaggi Syslog normali e CEF
Se si prevede di usare questo computer di inoltro logo per inoltrare i messaggi Syslog come CEF, per evitare la duplicazione degli eventi nelle tabelle Syslog e CommonSecurityLog:
In ogni computer di origine che invia log al server d'inoltro in formato CEF è necessario modificare il file di configurazione Syslog in modo da rimuovere le strutture usate per inviare i messaggi CEF.