Common Event Format のコネクタを使用してお使いの外部ソリューションを接続する
お使いのセキュリティ ソリューションからお使いの Microsoft Sentinel ワークスペースにログを転送するには、Linux マシンを指定および構成する必要があります。 このマシンには、自分のオンプレミス環境の物理マシンや仮想マシン、Azure VM、または別のクラウドの VM を使用できます。 用意されているリンクを使用し、指定したマシンで、次のタスクを実行するスクリプトを実行します。
Linux 用 Log Analytics エージェント ("OMS エージェント" ともいいます) をインストールし、次の用途に構成します。
TCP ポート 25226 で組み込みの Linux Syslog デーモンからの CEF メッセージをリッスンする
TLS 経由で Microsoft Sentinel ワークスペースへ安全にメッセージを送信し、解析およびエンリッチする
組み込みの Linux Syslog デーモン (rsyslog.d/syslog-ng) を次の用途に構成します。
TCP ポート 514 でセキュリティ ソリューションからの Syslog メッセージをリッスンする
TCP ポート 25226 で CEF として識別されたメッセージのみを localhost の Log Analytics エージェントに転送する
展開スクリプトを実行する
コネクタのページを表示するには、次のようにします。
[データ コネクタ] ページを選択します。
[共通イベント形式 (CEF)] を選択します。
プレビュー ウィンドウで、[Open connector page](コネクタ ページを開く) を選択します。
前提条件に記載された適切なアクセス許可があることを確認します。
"sudo wget …" コマンドをコピーし、それを専用の Linux VM で管理者特権を使用して実行します。
同じマシンを使用してプレーンな Syslog と Common Even Format のメッセージの両方を転送する
このログ フォワーダー マシンを使用して Syslog メッセージを CEF として転送することを計画している場合、次を実行し、Syslog と CommonSecurityLog テーブルでイベントが重複するのを回避します。
CEF 形式でフォワーダーにログを送信する各ソース マシンで、Syslog 構成ファイルを編集し、CEF メッセージの送信に使用されるファシリティを削除します。