Planejar o conector do Formato Comum de Evento
O conector do CEF implanta um servidor Encaminhador do Syslog para dar suporte à comunicação entre o dispositivo e o Microsoft Sentinel. O servidor consiste em um computador Linux dedicado com o agente do Log Analytics para Linux instalado. Muitos dos conectores de dados do Microsoft Sentinel específicos do fornecedor utilizam o conector do CEF.
O diagrama a seguir exibe a configuração de uma VM do Linux no Azure. As fontes locais do Syslog enviam eventos com segurança para uma VM do Linux do Azure. A VM do Linux com o agente do Log Analytics instalado encaminha os logs para o workspace do Microsoft Sentinel.
Como alternativa, o diagrama a seguir exibirá a configuração se você usar uma VM em outra nuvem ou em um computador local. As fontes locais do Syslog enviam eventos com segurança para uma VM do Linux. A VM do Linux com o agente do Log Analytics instalado encaminha com segurança os logs para o workspace do Microsoft Sentinel.
Considerações de segurança
Configure a segurança do computador de acordo com a política de segurança da organização. Por exemplo, você pode configurar a rede para seja alinhada à política de segurança de rede corporativa e alterar as portas e os protocolos do daemon para que sejam alinhados aos requisitos.
Para usar a comunicação TLS entre a fonte do Syslog e o Encaminhador do Syslog, é necessário configurar o daemon do Syslog (rsyslog ou syslog-ng) para se comunicar em TLS.
Pré-requisitos
Verifique se o computador Linux usado como encaminhador de log está executando um dos seguintes sistemas operacionais:
64 bits
Amazon Linux 2017.09
Oracle Linux 7
Red Hat Enterprise Linux (RHEL) Server 7 e 8, incluindo versões secundárias (exceto a 6)
Debian GNU/Linux 8 e 9
Ubuntu Linux 14.04 LTS, 16.04 LTS e 18.04 LTS
SUSE Linux Enterprise Server 12, 15
32 bits
Oracle Linux 7
Red Hat Enterprise Linux (RHEL) Server 7 e 8, incluindo versões secundárias (exceto a 6)
Debian GNU/Linux 8 e 9
Ubuntu Linux 14.04 LTS and 16.04 LTS
Versões do daemon
Syslog-ng: 2.1 - 3.22.1
Rsyslog: v8
Syslog RFCs com suporte
Syslog RFC 3164
Syslog RFC 5424
Verifique se o computador também atende aos seguintes requisitos:
Permissões
- Você deve ter permissões elevadas (sudo) no computador.
Requisitos de software
- Verifique se você tem o Python 2.7 ou 3 em execução no computador.