Introduzione

  • 3 minuti

I dati dei log syslog vengono inviati all'area di lavoro di Microsoft Sentinel usando una regola di raccolta dati dell'agente di Monitoraggio di Azure.

L'utente agisce in qualità di Security Operations Analyst presso un'azienda che ha implementato Microsoft Sentinel. è necessario raccogliere i dati dei log dalle appliance di rete locali. I dati delle appliance di rete vengono forniti in un formato non strutturato.

Per inviare i dati dei log, è necessario installare un host Linux locale usato come server di inoltro. Quindi, seguire le istruzioni per installare l'agente di Azure Connected Machine che consente di gestire i computer Linux (Windows e) ospitati all'esterno di Azure nella rete aziendale con Azure Arc. Dopo aver verificato la connettività di Azure Arc, è possibile installare l'estensione Agente Linux di Monitoraggio di Azure e durante tale processo si crea una regola di raccolta dati Syslog di Monitoraggio di Azure. Il passaggio finale consiste nel configurare le appliance di rete per l'inoltro dei log all'host Linux.

Le appliance di rete inviano ora i registri al nuovo host Linux, che li inoltra i log all'area di lavoro di Microsoft Sentinel tramite la regola di raccolta dati dell’Agente di Monitoraggio di Azure. Per semplificare al team Security Operations l'esecuzione di query sui record dei log contenenti dati in formato stringa non strutturati, si crea un parser in Microsoft Sentinel usando una funzione KQL.

Al termine di questo modulo si sarà in grado di:

  • Descrivere la regola di raccolta dati (DCR) dell'agente di Monitoraggio di Azure per Syslog
  • Installare e configurare l'estensione agente Linux di Monitoraggio di Azure con la DCR per Syslog
  • Eseguire gli script di distribuzione e connessione Linux di Azure Arc
  • Verificare che i dati dei log Syslog siano disponibili in Microsoft Sentinel
  • Creare un parser usando KQL in Microsoft Sentinel

Prerequisiti

  • Conoscenza di base di concetti operativi quali monitoraggio, registrazione e avvisi
  • Familiarità con le operazioni e il monitoraggio di Linux