Planejar o conector do Formato Comum de Evento

Concluído

O conector do CEF implanta um servidor Encaminhador do Syslog para dar suporte à comunicação entre o dispositivo e o Microsoft Sentinel. O servidor consiste em um computador Linux dedicado com o agente do Log Analytics para Linux instalado. Muitos dos conectores de dados do Microsoft Sentinel específicos do fornecedor utilizam o conector do CEF.

O diagrama a seguir exibe a configuração de uma VM do Linux no Azure. As fontes locais do Syslog enviam eventos com segurança para uma VM do Linux do Azure. A VM do Linux com o agente do Log Analytics instalado encaminha os logs para o workspace do Microsoft Sentinel.

Diagram of the Azure VM hosting Syslog connector architecture.

Como alternativa, o diagrama a seguir exibirá a configuração se você usar uma VM em outra nuvem ou em um computador local. As fontes locais do Syslog enviam eventos com segurança para uma VM do Linux. A VM do Linux com o agente do Log Analytics instalado encaminha com segurança os logs para o workspace do Microsoft Sentinel.

Diagram of the on-premises Syslog connector architecture.

Considerações de segurança

Configure a segurança do computador de acordo com a política de segurança da organização. Por exemplo, você pode configurar a rede para seja alinhada à política de segurança de rede corporativa e alterar as portas e os protocolos do daemon para que sejam alinhados aos requisitos.

Para usar a comunicação TLS entre a fonte do Syslog e o Encaminhador do Syslog, é necessário configurar o daemon do Syslog (rsyslog ou syslog-ng) para se comunicar em TLS.

Pré-requisitos

Verifique se o computador Linux usado como encaminhador de log está executando um dos seguintes sistemas operacionais:

  • 64 bits

    • CentOS 7 e 8, incluindo versões secundárias (exceto a 6)

    • Amazon Linux 2017.09

    • Oracle Linux 7

    • Red Hat Enterprise Linux (RHEL) Server 7 e 8, incluindo versões secundárias (exceto a 6)

    • Debian GNU/Linux 8 e 9

    • Ubuntu Linux 14.04 LTS, 16.04 LTS e 18.04 LTS

    • SUSE Linux Enterprise Server 12, 15

  • 32 bits

    • CentOS 7 e 8, incluindo versões secundárias (exceto a 6)

    • Oracle Linux 7

    • Red Hat Enterprise Linux (RHEL) Server 7 e 8, incluindo versões secundárias (exceto a 6)

    • Debian GNU/Linux 8 e 9

    • Ubuntu Linux 14.04 LTS and 16.04 LTS

    • Versões do daemon

    • Syslog-ng: 2.1 - 3.22.1

    • Rsyslog: v8

    • Syslog RFCs com suporte

    • Syslog RFC 3164

    • Syslog RFC 5424

Verifique se o computador também atende aos seguintes requisitos:

Permissões

  • Você deve ter permissões elevadas (sudo) no computador.

Requisitos de software

  • Verifique se você tem o Python 2.7 ou 3 em execução no computador.