Common Event Format のコネクタの計画
CEF コネクタでは、アプライアンスと Microsoft Sentinel 間の通信をサポートする Syslog フォワーダー サーバーがデプロイされます。 このサーバーは、Linux 用の Log Analytics エージェントがインストールされた専用の Linux マシンで構成されています。 ベンダー固有の Microsoft Sentinel データ コネクタの多くは、CEF コネクタを利用しています。
次の図に、Azure の Linux VM のセットアップ図を示します。 オンプレミスの Syslog ソースから、Azure Linux VM に安全にイベントが送信されます。 次いで、Log Analytics エージェントがインストールされた Linux VM がそのログを、Microsoft Sentinel ワークスペースに転送します。
次は、別のクラウドまたはオンプレミスのマシンで VM を使用している場合の別のセットアップ図です。 オンプレミスの Syslog ソースから、Linux VM に安全にイベントが送信されます。 次いで、Log Analytics エージェントがインストールされた Linux VM がそのログを、Microsoft Sentinel ワークスペースに安全に転送します。
セキュリティに関する考慮事項
組織のセキュリティ ポリシーに従って、コンピューターのセキュリティを構成してください。 たとえば、自分のネットワークを、自分の会社のネットワークのセキュリティ ポリシーに準拠するように構成し、デーモンのポートとプロトコルを自分の要件に合うよう変更できます。
Syslog ソースと Syslog フォワーダー間で TLS 通信を使用するには、Syslog デーモン (rsyslog または syslog-ng) を TLS で通信するよう構成する必要があります。
前提条件
ログ フォワーダーとして使用する Linux マシンで、次のいずれかのオペレーティング システムが実行されていることを確認します。
64 ビット
マイナー バージョンを含む CentOS 7 と 8 (6 は不可)
Amazon Linux 2017.09
Oracle Linux 7
マイナー バージョンを含む Red Hat Enterprise Linux (RHEL) Server 7 と 8 (6 は不可)
Debian GNU/Linux 8 および 9
Ubuntu Linux 14.04 LTS、16.04 LTS、および 18.04 LTS
SUSE Linux Enterprise Server 12、15
32 ビット
マイナー バージョンを含む CentOS 7 と 8 (6 は不可)
Oracle Linux 7
マイナー バージョンを含む Red Hat Enterprise Linux (RHEL) Server 7 と 8 (6 は不可)
Debian GNU/Linux 8 および 9
Ubuntu Linux 14.04 LTS および 16.04 LTS
デーモンのバージョン
Syslog-ng:2.1 - 3.22.1
Rsyslog: v8
サポートされている Syslog RFC
Syslog RFC 3164
Syslog RFC 5424
マシンが次の要件も満たしていることを確認します。
アクセス許可
- マシンに対する管理者特権のアクセス許可 (sudo) が必要です。
ソフトウェア要件
- マシンで python 2.7 または 3 が実行されていることを確認します。