Integrar o Azure Stack Hub com soluções de monitorização com o reencaminhamento do syslog
Este artigo mostra-lhe como utilizar o syslog para integrar a infraestrutura do Azure Stack Hub com soluções de segurança externas já implementadas no seu datacenter. Por exemplo, um sistema de gestão de eventos de informações de segurança (SIEM). O canal syslog expõe auditorias, alertas e registos de segurança de todos os componentes da infraestrutura do Azure Stack Hub. Utilize o reencaminhamento do syslog para integrar com soluções de monitorização de segurança e para obter todas as auditorias, alertas e registos de segurança para armazená-los para retenção.
A partir da atualização 1809, o Azure Stack Hub tem um cliente syslog integrado que, uma vez configurado, emite mensagens syslog com o payload no Common Event Format (CEF).
O diagrama seguinte descreve a integração do Azure Stack Hub com um SIEM externo. Existem dois padrões de integração que têm de ser considerados: o primeiro (o azul) é a infraestrutura do Azure Stack Hub que abrange as máquinas virtuais de infraestrutura e os nós hyper-V. Todas as auditorias, registos de segurança e alertas desses componentes são recolhidos e expostos centralmente através do syslog com payload CEF. Este padrão de integração é descrito nesta página de documento. O segundo padrão de integração é o representado a laranja e abrange os controladores de gestão da placa base (BMCs), o anfitrião do ciclo de vida do hardware (HLH), as máquinas virtuais e aplicações virtuais que executam o software de monitorização e gestão de parceiros de hardware e os comutadores tor (top of rack). Uma vez que estes componentes são específicos de parceiros de hardware, contacte o parceiro de hardware para obter documentação sobre como integrá-los num SIEM externo.
O cliente syslog no Azure Stack Hub suporta as seguintes configurações:
Syslog através de TCP, com autenticação mútua (cliente e servidor) e encriptação TLS 1.2: Nesta configuração, tanto o servidor syslog como o cliente syslog podem verificar a identidade uns dos outros através de certificados. As mensagens são enviadas através de um canal encriptado TLS 1.2.
Syslog através de TCP com autenticação de servidor e encriptação TLS 1.2: Nesta configuração, o cliente syslog pode verificar a identidade do servidor syslog através de um certificado. As mensagens são enviadas através de um canal encriptado TLS 1.2.
Syslog através de TCP, sem encriptação: Nesta configuração, as identidades do cliente syslog e do servidor syslog não são verificadas. As mensagens são enviadas em texto não encriptado através de TCP.
Syslog através de UDP, sem encriptação: Nesta configuração, as identidades do cliente syslog e do servidor syslog não são verificadas. As mensagens são enviadas em texto não encriptado através de UDP.
Importante
A Microsoft recomenda vivamente utilizar o TCP através da autenticação e encriptação (configuração n.º 1 ou, no mínimo, n.º 2) para ambientes de produção para proteger contra ataques man-in-the-middle e escutas de mensagens.
Configurar o reencaminhamento do syslog requer acesso ao ponto final privilegiado (PEP). Foram adicionados dois cmdlets do PowerShell ao PEP para configurar o reencaminhamento do syslog:
### cmdlet to pass the syslog server information to the client and to configure the transport protocol, the encryption and the authentication between the client and the server
Set-SyslogServer [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipCertificateCheck] [-SkipCNCheck] [-UseUDP] [-Remove]
### cmdlet to configure the certificate for the syslog client to authenticate with the server
Set-SyslogClient [-pfxBinary <Byte[]>] [-CertPassword <SecureString>] [-RemoveCertificate] [-OutputSeverity]
Parâmetros para o cmdlet Set-SyslogServer :
Parâmetro | Descrição | Tipo | Necessário |
---|---|---|---|
ServerName | FQDN ou endereço IP do servidor syslog. | String | sim |
ServerPort | Número da porta em que o servidor syslog está a escutar. | UInt16 | sim |
NoEncryption | Forçar o cliente a enviar mensagens syslog em texto não encriptado. | flag | não |
SkipCertificateCheck | Ignore a validação do certificado fornecido pelo servidor syslog durante o handshake TLS inicial. | flag | não |
SkipCNCheck | Ignore a validação do valor Nome Comum do certificado fornecido pelo servidor syslog durante o handshake TLS inicial. | flag | não |
UseUDP | Utilize o syslog com UDP como protocolo de transporte. | flag | não |
Remover | Remova a configuração do servidor do cliente e pare o reencaminhamento do syslog. | flag | não |
Parâmetros para o cmdlet Set-SyslogClient :
Parâmetro | Descrição | Tipo |
---|---|---|
pfxBinary | O conteúdo do ficheiro pfx, direcionado para um Byte[], que contém o certificado a utilizar pelo cliente como identidade para autenticar no servidor syslog. | Byte[] |
CertPassword | Palavra-passe para importar a chave privada associada ao ficheiro pfx. | SecureString |
RemoverCertificado | Remova o certificado do cliente. | flag |
OutputSeverity | Nível de registo de saída. Os valores são Predefinidos ou Verbosos. A predefinição inclui níveis de gravidade: aviso, crítico ou erro. Verboso inclui todos os níveis de gravidade: verboso, informativo, aviso, crítico ou erro. | String |
Nesta configuração, o cliente syslog no Azure Stack Hub reencaminha as mensagens para o servidor syslog através de TCP, com encriptação TLS 1.2. Durante o handshake inicial, o cliente verifica se o servidor fornece um certificado fidedigno válido. O cliente também fornece um certificado ao servidor como prova da respetiva identidade. Esta configuração é a mais segura, uma vez que fornece uma validação completa da identidade do cliente e do servidor e envia mensagens através de um canal encriptado.
Importante
A Microsoft recomenda vivamente que utilize esta configuração para ambientes de produção.
Para configurar o reencaminhamento do syslog com encriptação TCP, autenticação mútua e TLS 1.2, execute ambos os cmdlets numa sessão PEP:
# Configure the server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
# Provide certificate to the client to authenticate against the server
Set-SyslogClient -pfxBinary <Byte[] of pfx file> -CertPassword <SecureString, password for accessing the pfx file>
O certificado de cliente tem de ter a mesma raiz que a fornecida durante a implementação do Azure Stack Hub. Também tem de conter uma chave privada.
##Example on how to set your syslog client with the certificate for mutual authentication.
##This example script must be run from your hardware lifecycle host or privileged access workstation.
$ErcsNodeName = "<yourPEP>"
$password = ConvertTo-SecureString -String "<your cloudAdmin account password" -AsPlainText -Force
$cloudAdmin = "<your cloudAdmin account name>"
$CloudAdminCred = New-Object System.Management.Automation.PSCredential ($cloudAdmin, $password)
$certPassword = $password
$certContent = Get-Content -Path C:\cert\<yourClientCertificate>.pfx -Encoding Byte
$params = @{
ComputerName = $ErcsNodeName
Credential = $CloudAdminCred
ConfigurationName = "PrivilegedEndpoint"
}
$session = New-PSSession @params
$params = @{
Session = $session
ArgumentList = @($certContent, $certPassword)
}
Write-Verbose "Invoking cmdlet to set syslog client certificate..." -Verbose
Invoke-Command @params -ScriptBlock {
param($CertContent, $CertPassword)
Set-SyslogClient -PfxBinary $CertContent -CertPassword $CertPassword }
Nesta configuração, o cliente syslog no Azure Stack Hub reencaminha as mensagens para o servidor syslog através de TCP, com encriptação TLS 1.2. Durante o handshake inicial, o cliente também verifica se o servidor fornece um certificado válido e fidedigno. Esta configuração impede o cliente de enviar mensagens para destinos não fidedignos. O TCP que utiliza autenticação e encriptação é a configuração predefinida e representa o nível mínimo de segurança que a Microsoft recomenda para um ambiente de produção.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
Caso pretenda testar a integração do servidor syslog com o cliente do Azure Stack Hub com um certificado autoassinado ou não fidedigno, pode utilizar estes sinalizadores para ignorar a validação do servidor feita pelo cliente durante o handshake inicial.
#Skip validation of the Common Name value in the server certificate. Use this flag if you provide an IP address for your syslog server
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
-SkipCNCheck
#Skip entirely the server certificate validation
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on>
-SkipCertificateCheck
Importante
A Microsoft recomenda contra a utilização do sinalizador -SkipCertificateCheck para ambientes de produção.
Nesta configuração, o cliente syslog no Azure Stack Hub reencaminha as mensagens para o servidor syslog através de TCP, sem encriptação. O cliente não verifica a identidade do servidor nem fornece a sua própria identidade ao servidor para verificação.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption
Importante
A Microsoft recomenda que não utilize esta configuração para ambientes de produção.
Nesta configuração, o cliente syslog no Azure Stack Hub reencaminha as mensagens para o servidor syslog através de UDP, sem encriptação. O cliente não verifica a identidade do servidor nem fornece a sua própria identidade ao servidor para verificação.
Set-SyslogServer -ServerName <FQDN or ip address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -UseUDP
Embora o UDP sem encriptação seja o mais fácil de configurar, não fornece qualquer proteção contra ataques man-in-the-middle e escutas de mensagens.
Importante
A Microsoft recomenda que não utilize esta configuração para ambientes de produção.
Para remover completamente a configuração do servidor syslog e parar o reencaminhamento do syslog:
Remover a configuração do servidor syslog do cliente
Set-SyslogServer -Remove
Remover o certificado de cliente do cliente
Set-SyslogClient -RemoveCertificate
Se tiver ligado com êxito o cliente syslog ao servidor syslog, deverá começar a receber eventos em breve. Se não vir nenhum evento, verifique a configuração do cliente syslog ao executar os seguintes cmdlets:
Verificar a configuração do servidor no cliente syslog
Get-SyslogServer
Verificar a configuração do certificado no cliente syslog
Get-SyslogClient
O reencaminhamento do syslog da infraestrutura do Azure Stack Hub envia mensagens formatadas no Formato de Evento Comum (CEF). Cada mensagem syslog é estruturada com base neste esquema:
<Time> <Host> <CEF payload>
O payload CEF baseia-se na estrutura abaixo, mas o mapeamento para cada campo varia consoante o tipo de mensagem (Evento do Windows, Alerta criado, Alerta fechado).
# Common Event Format schema
CEF: <Version>|<Device Vendor>|<Device Product>|<Device Version>|<Signature ID>|<Name>|<Severity>|<Extensions>
* Version: 0.0
* Device Vendor: Microsoft
* Device Product: Microsoft Azure Stack Hub
* Device Version: 1.0
Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <PEP Event ID>
* Name: <PEP Task Name>
* Severity: mapped from PEP Level (details see the PEP Severity table below)
* Who: account used to connect to the PEP
* WhichIP: IP address of ERCS server hosting the PEP
Tabela de eventos para o ponto final privilegiado:
Evento | ID do evento PEP | Nome da tarefa PEP | Gravidade |
---|---|---|---|
PrivilegedEndpointAccessed | 1000 | PrivilegedEndpointAccessedEvent | 5 |
SupportSessionTokenRequested | 1001 | SupportSessionTokenRequestedEvent | 5 |
SupportSessionDevelopmentTokenRequested | 1002 | SupportSessionDevelopmentTokenRequestedEvent | 5 |
SupportSessionUnlocked | 1003 | SupportSessionUnlockedEvent | 10 |
SupportSessionFailedToUnlock | 1004 | SupportSessionFailedToUnlockEvent | 10 |
PrivilegedEndpointClosed | 1005 | PrivilegedEndpointClosedEvent | 5 |
NewCloudAdminUser | 1006 | NewCloudAdminUserEvent | 10 |
RemoveCloudAdminUser | 1007 | RemoveCloudAdminUserEvent | 10 |
SetCloudAdminUserPassword | 1008 | SetCloudAdminUserPasswordEvent | 5 |
GetCloudAdminPasswordRecoveryToken | 1009 | GetCloudAdminPasswordRecoveryTokenEvent | 10 |
ResetCloudAdminPassword | 1010 | ResetCloudAdminPasswordEvent | 10 |
PrivilegedEndpointSessionTimedOut | 1017 | PrivilegedEndpointSessionTimedOutEvent | 5 |
Tabela PEP Severity:
Gravidade | Level | Valor Numérico |
---|---|---|
0 | Indefinido | Valor: 0. Indica registos em todos os níveis |
10 | Crítico | Valor: 1. Indica registos de um alerta crítico |
8 | Erro | Valor: 2. Indica registos de um erro |
5 | Aviso | Valor: 3. Indica registos de um aviso |
2 | Informações | Valor: 4. Indica os registos de uma mensagem informativa |
0 | Verboso | Valor: 5. Indica registos em todos os níveis |
Prefix fields
* Signature ID: Microsoft-AzureStack-PrivilegedEndpoint: <REP Event ID>
* Name: <REP Task Name>
* Severity: mapped from REP Level (details see the REP Severity table below)
* Who: account used to connect to the REP
* WhichIP: IP address of the device used to connect to the REP
Tabela de eventos para o ponto final de recuperação:
Evento | ID do evento REP | Nome da tarefa REP | Gravidade |
---|---|---|---|
RecoveryEndpointAccessed | 1011 | RecoveryEndpointAccessedEvent | 5 |
RecoverySessionTokenRequested | 1012 | RecoverySessionTokenRequestedEvent | 5 |
RecoverySessionDevelopmentTokenRequested | 1013 | RecoverySessionDevelopmentTokenRequestedEvent | 5 |
RecoverySessionUnlocked | 1014 | RecoverySessionUnlockedEvent | 10 |
RecoverySessionFailedToUnlock | 1015 | RecoverySessionFailedToUnlockEvent | 10 |
RecoveryEndpointClosed | 1016 | RecoveryEndpointClosedEvent | 5 |
Tabela Gravidade do REP:
Gravidade | Level | Valor numérico |
---|---|---|
0 | Indefinido | Valor: 0. Indica registos em todos os níveis |
10 | Crítico | Valor: 1. Indica os registos de um alerta crítico |
8 | Erro | Valor: 2. Indica os registos de um erro |
5 | Aviso | Valor: 3. Indica os registos de um aviso |
2 | Informações | Valor: 4. Indica os registos de uma mensagem informativa |
0 | Verboso | Valor: 5. Indica registos em todos os níveis |
* Signature ID: ProviderName:EventID
* Name: TaskName
* Severity: Level (for details, see the severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)
Tabela de gravidade para eventos do Windows:
Valor de gravidade do CEF | Nível de evento do Windows | Valor numérico |
---|---|---|
0 | Indefinido | Valor: 0. Indica registos em todos os níveis |
10 | Crítico | Valor: 1. Indica os registos de um alerta crítico |
8 | Erro | Valor: 2. Indica os registos de um erro |
5 | Aviso | Valor: 3. Indica os registos de um aviso |
2 | Informações | Valor: 4. Indica os registos de uma mensagem informativa |
0 | Verboso | Valor: 5. Indica registos em todos os níveis |
Tabela de extensões personalizada para eventos do Windows no Azure Stack Hub:
Nome da extensão personalizada | Exemplo de evento do Windows |
---|---|
MasCanal | Sistema |
MasComputer | test.azurestack.contoso.com |
MasCorrelationActivityID | C8F40D7C-3764-423B-A4FA-C994442238AF |
MasCorrelationRelatedActivityID | C8F40D7C-3764-423B-A4FA-C994442238AF |
MasEventData | svchost!! 4132,G,0!!! EseDiskFlushConsistency!! ESENT!! 0x800000 |
MasEventDescription | As definições de Política de Grupo para o utilizador foram processadas com êxito. Não foram detetadas alterações desde o último processamento bem-sucedido de Política de Grupo. |
MasEventID | 1501 |
MasEventRecordID | 26637 |
MasExecutionProcessID | 29380 |
MasExecutionThreadID | 25480 |
Palavras-chave | 0x8000000000000000 |
MasKeywordName | Auditar Êxito |
MasLevel | 4 |
MasOpcode | 1 |
MasOpcodeName | informações |
MasProviderEventSourceName | |
MasProviderGuid | AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9 |
MasProviderName | Microsoft-Windows-GroupPolicy |
MasSecurityUserId | <Windows SID> |
MasTask | 0 |
MasTaskCategory | Criação de Processos |
MasUserData | KB4093112!! 5112!! Instalado!! 0x0!! WindowsUpdateAgent Xpath: /Event/UserData/* |
MasVersion | 0 |
* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Alert Severity (for details, see alerts severity table below)
* Extension: Custom Extension Name (for details, see the Custom Extension table below)
Tabela de gravidade de alertas:
Gravidade | Level |
---|---|
0 | Indefinido |
10 | Crítico |
5 | Aviso |
Tabela de Extensão Personalizada para Alertas criados no Azure Stack Hub:
Nome da extensão personalizada | Exemplo |
---|---|
MasEventDescription | DESCRIÇÃO: foi criado um TestUser de conta <de utilizador para <TestDomain>.> É um potencial risco de segurança. -- REMEDIAÇÃO: Contacte o suporte. A Assistência ao Cliente é necessária para resolver este problema. Não tente resolver este problema sem a respetiva ajuda. Antes de abrir um pedido de suporte, inicie o processo de recolha de ficheiros de registo com a documentação de orientação do https://aka.ms/azurestacklogfiles. |
* Signature ID: Microsoft Azure Stack Hub Alert Creation : FaultTypeId
* Name: FaultTypeId : AlertId
* Severity: Information
O exemplo abaixo mostra uma mensagem syslog com payload do CEF:
2018:05:17:-23:59:28 -07:00 TestHost CEF:0.0|Microsoft|Microsoft Azure Stack Hub|1.0|3|TITLE: User Account Created -- DESCRIPTION: A user account \<TestUser\> was created for \<TestDomain\>. It's a potential security risk. -- REMEDIATION: Please contact Support. Customer Assistance is required to resolve this issue. Do not try to resolve this issue without their assistance. Before you open a support request, start the log file collection process using the guidance from https://aka.ms/azurestacklogfiles|10
A tabela lista todos os tipos de eventos, eventos, esquema de mensagens ou propriedades que são enviados através do canal syslog. O comutador verboso de configuração só deve ser utilizado se forem necessários eventos informativos do Windows para a integração do SIEM.
Tipo de Evento | Eventos ou esquema de mensagens | Requer uma definição verbosa | Descrição do Evento (opcional) |
---|---|---|---|
Alertas do Azure Stack Hub | Para o esquema da mensagem de alerta , veja Mapeamento do CEF para alertas fechados. Uma lista de todos os alertas partilhados num documento separado. |
No | Alertas do estado de funcionamento do sistema |
Eventos de Ponto Final Com Privilégios | Para o esquema de mensagens de ponto final privilegiado, veja Mapeamento ceF para eventos de pontos finais privilegiados. PrivilegedEndpointAccessed SupportSessionTokenRequested SupportSessionDevelopmentTokenRequested SupportSessionUnlocked SupportSessionFailedToUnlock PrivilegedEndpointClosed NewCloudAdminUser RemoverCloudAdminUser SetCloudAdminUserPassword GetCloudAdminPasswordRecoveryToken ResetCloudAdminPassword PrivilegedEndpointSessionTimedOut |
No | |
Eventos de Ponto Final de Recuperação | Para o esquema de mensagens de ponto final de recuperação, veja Mapeamento do CEF para eventos de ponto final de recuperação. RecoveryEndpointAccessed RecoverySessionTokenRequested RecoverySessionDevelopmentTokenRequested RecoverySessionUnlocked RecoverySessionFailedToUnlock Recovand RecoveryEndpointClosed |
No | |
Eventos de Segurança do Windows | Para o esquema de mensagens de eventos do Windows, veja Mapeamento ceF para eventos do Windows. |
Sim (para obter eventos de informações) | Escreva: - Informações - Aviso - Erro - Crítica |
Eventos arm | Propriedades da mensagem: AzsSubscriptionId AzsCorrelationId AzsPrincipalOid AzsPrincipalPuid AzsTenantId AzsOperationName AzsOperationId AzsEventSource AzsDescription AzsResourceProvider AzsResourceUri AzsEventName AzsEventInstanceId AzsChannels AzsEventLevel AzsStatus AzsSubStatus AzsClaims AzsAuthorization AzsHttpRequest AzsProperties AzsEventTimestamp AzsAudience AzsIssuer AzsIssuedAt AzsApplicationId AzsUniqueTokenId AzsArmServiceRequestId AzsEventCategory |
No |
Cada recurso arm registado pode gerar um evento. |
Eventos BCDR | Esquema de mensagem: AuditingManualBackup { } AuditingConfig { Intervalo Retenção IsSchedulerEnabled BackupPath } AuditingPruneBackupStore { IsInternalStore } |
No | Estes eventos controlam as operações de administração de cópias de segurança de infraestrutura realizadas manualmente pelo cliente, incluindo acionar cópia de segurança, alterar a configuração da cópia de segurança e podar dados de cópia de segurança. |
Eventos de Criação e Fecho de Falhas de Infraestrutura | Esquema de mensagem: InfrastructureFaultOpen { AzsFaultId, AzsFaultTypeName, AzsComponentType, AzsComponentName, AzsFaultHash, AzsCreatedTimeUtc, AzsSource } InfrastructureFaultClose { AzsFaultId, AzsFaultTypeName, AzsComponentType, AzsComponentName, AzsFaultHash, AzsLastUpdatedTimeUtc, AzsSource } |
No | As falhas acionam fluxos de trabalho que tentam remediar erros que podem levar a alertas. Se uma falha não tiver remediação, leva diretamente a um Alerta. |
Eventos de Criação e Encerramento de Falhas de Serviço | Esquema de mensagem: ServiceFaultOpen { AzsFaultId, AzsFaultTypeName, AzsSubscriptionId, AzsResourceGroup, AzsServiceName, AzsResourceId AzsFaultHash, AzsCreatedTimeUtc, AzsSource } ServiceFaultClose { AzsFaultId, AzsFaultTypeName, AzsSubscriptionId, AzsResourceGroup, AzsServiceName, AzsResourceId AzsFaultHash, AzsLastUpdatedTimeUtc, AzsSource } |
No | As falhas acionam fluxos de trabalho que tentam remediar erros que podem levar a alertas. Se uma falha não tiver remediação, leva diretamente a um Alerta. |
Eventos PEP WAC | Esquema de mensagem: Campos de prefixo * ID da Assinatura: Microsoft-AzureStack-PrivilegedEndpoint: <ID do Evento PEP> * Nome: <Nome da Tarefa PEP> * Gravidade: mapeado a partir do Nível PEP (os detalhes veem a tabela Gravidade PEP abaixo) * Quem: conta utilizada para ligar ao PEP * WhichIP: endereço IP do servidor ERCS que aloja o PEP WACServiceStartFailedEvent WACConnectedUserNotRetrievedEvent WACEnableExceptionEvent WACUserAddedEvent WACAddUserToLocalGroupFailedEvent WACIsUserInLocalGroupFailedEvent WACServiceStartTimeoutEvent WACServiceStartInvalidOperationEvent WACGetSidFromUserFailedEvent WACDisableFirewallFailedEvent WACCreateLocalGroupIfNotExistFailedEvent WACEnableFlagIsTrueEvent WACEnableFlagIsFalseEvent WACServiceStartedEvent |
Não |