Syslog e Common Event Format (CEF) através de conectores AMA para Microsoft Sentinel

O Syslog via AMA e o Common Event Format (CEF) via conectores de dados AMA para o Microsoft Sentinel filtram e ingerem mensagens Syslog, incluindo mensagens em Common Event Format (CEF), de máquinas Linux e de dispositivos e dispositivos de rede e segurança. Esses conectores instalam o Azure Monitor Agent (AMA) em qualquer máquina Linux da qual você deseja coletar mensagens Syslog e/ou CEF. Essa máquina pode ser o originador das mensagens ou pode ser um encaminhador que coleta mensagens de outras máquinas, como dispositivos e aparelhos de rede ou segurança. O conector envia instruções aos agentes com base nas Regras de Coleta de Dados (DCRs) definidas por você. Os DCRs especificam os sistemas a serem monitorados e os tipos de logs ou mensagens a serem coletados. Eles definem filtros para aplicar às mensagens antes de serem ingeridas, para um melhor desempenho e consultas e análises mais eficientes.

Syslog e CEF são dois formatos comuns para registrar dados de diferentes dispositivos e aplicativos. Eles ajudam os administradores de sistema e analistas de segurança a monitorar e solucionar problemas da rede e identificar possíveis ameaças ou incidentes.

O que é Syslog?

Syslog é um protocolo padrão para enviar e receber mensagens entre diferentes dispositivos ou aplicativos através de uma rede. Foi originalmente desenvolvido para sistemas Unix, mas agora é amplamente suportado por várias plataformas e fornecedores. As mensagens Syslog têm uma estrutura predefinida que consiste em uma prioridade, um carimbo de data/hora, um nome de host, um nome de aplicativo, uma ID de processo e um texto de mensagem. As mensagens Syslog podem ser enviadas por UDP, TCP ou TLS, dependendo da configuração e dos requisitos de segurança.

O Azure Monitor Agent suporta RFCs Syslog 3164 e 5424.

O que é o Common Event Format (CEF)?

CEF, ou Common Event Format, é um formato neutro do fornecedor para registrar dados de dispositivos e dispositivos de rede e segurança, como firewalls, roteadores, soluções de deteção e resposta e sistemas de deteção de intrusão, bem como de outros tipos de sistemas, como servidores web. Uma extensão do Syslog, foi desenvolvido especialmente para soluções de gestão de eventos e informação de segurança (SIEM). As mensagens CEF têm um cabeçalho padrão que contém informações como o fornecedor do dispositivo, o produto do dispositivo, a versão do dispositivo, a classe do evento, a gravidade do evento e a ID do evento. As mensagens CEF também têm um número variável de extensões que fornecem mais detalhes sobre o evento, como os endereços IP de origem e destino, o nome de usuário, o nome do arquivo ou a ação executada.

Recolha de mensagens Syslog e CEF com AMA

Os diagramas a seguir ilustram a arquitetura da coleção de mensagens Syslog e CEF no Microsoft Sentinel, usando o Syslog via AMA e o Common Event Format (CEF) via conectores AMA.

Máquina única (syslog)

Este diagrama mostra mensagens Syslog sendo coletadas de uma única máquina virtual Linux individual, na qual o Azure Monitor Agent (AMA) está instalado.

O processo de ingestão de dados usando o Agente do Azure Monitor usa os seguintes componentes e fluxos de dados:

• As fontes de log são suas várias VMs Linux em seu ambiente que produzem mensagens Syslog. Essas mensagens são coletadas pelo daemon Syslog local na porta TCP ou UDP 514 (ou outra porta de acordo com sua preferência).

• O daemon Syslog local (ou rsyslog syslog-ng) coleta as mensagens de log na porta TCP ou UDP 514 (ou outra porta de acordo com sua preferência). Em seguida, o daemon envia esses logs para o Agente do Azure Monitor de duas maneiras diferentes, dependendo da versão do AMA:

  • As versões 1.28.11 e superiores do AMA recebem logs na porta TCP 28330.
  • Versões anteriores do AMA recebem logs via soquete de domínio Unix.

  Se você quiser usar uma porta diferente de 514 para receber mensagens Syslog/CEF, certifique-se de que a configuração da porta no daemon Syslog corresponde à do aplicativo que gera as mensagens.

• O Agente do Azure Monitor que você instala em cada VM Linux da qual deseja coletar mensagens Syslog, configurando o conector de dados. O agente analisa os logs e, em seguida, envia-os para o espaço de trabalho do Microsoft Sentinel (Log Analytics).

• Seu espaço de trabalho do Microsoft Sentinel (Log Analytics): as mensagens do Syslog enviadas aqui acabam na tabela do Syslog , onde você pode consultar os logs e executar análises neles para detetar e responder a ameaças à segurança.

Encaminhador de log (syslog/CEF)

Este diagrama mostra mensagens Syslog e CEF sendo coletadas de uma máquina de encaminhamento de log baseada em Linux na qual o Azure Monitor Agent (AMA) está instalado. Esse encaminhador de log coleta mensagens Syslog e CEF de suas máquinas, dispositivos ou dispositivos de origem.

O processo de ingestão de dados usando o Agente do Azure Monitor usa os seguintes componentes e fluxos de dados:

• As fontes de log são seus vários dispositivos e dispositivos de segurança em seu ambiente que produzem mensagens de log no formato CEF ou em Syslog simples. Esses dispositivos são configurados para enviar suas mensagens de log pela porta TCP ou UDP 514 (ou outra porta de acordo com sua preferência), não para o daemon Syslog local, mas sim para o daemon Syslog no encaminhador de log.

• O encaminhador de log é uma VM Linux dedicada que sua organização configura para coletar as mensagens de log de suas fontes de log Syslog e CEF. A VM pode ser local, no Azure ou em outra nuvem. Este encaminhador de log em si tem dois componentes:

  • O daemon Syslog (ou rsyslog syslog-ng) coleta as mensagens de log na porta TCP ou UDP 514 (ou outra porta de acordo com sua preferência). Em seguida, o daemon envia esses logs para o Agente do Azure Monitor de duas maneiras diferentes, dependendo da versão do AMA:

    • As versões 1.28.11 e superiores do AMA recebem logs na porta TCP 28330.
    • Versões anteriores do AMA recebem logs via soquete de domínio Unix.

    Se você quiser usar uma porta diferente de 514 para receber mensagens Syslog/CEF, certifique-se de que a configuração da porta no daemon Syslog corresponde à do aplicativo que gera as mensagens.

  • O Agente do Azure Monitor que você instala no encaminhador de log configurando os conectores de dados Syslog e/ou CEF. O agente analisa os logs e, em seguida, envia-os para o espaço de trabalho do Microsoft Sentinel (Log Analytics).

• Seu espaço de trabalho do Microsoft Sentinel (Log Analytics): os logs CEF enviados aqui acabam na tabela CommonSecurityLog e as mensagens Syslog na tabela Syslog. Lá, você pode consultar os logs e realizar análises sobre eles para detetar e responder a ameaças à segurança.

Processo de configuração para coletar mensagens de log

A partir do hub de conteúdo no Microsoft Sentinel, instale a solução apropriada para Syslog ou Common Event Format. Esta etapa instala os respetivos conectores de dados Syslog via AMA ou Common Event Format (CEF) via conector de dados AMA. Para obter mais informações, consulte Descobrir e gerenciar conteúdo pronto para uso do Microsoft Sentinel.

Como parte do processo de instalação, crie uma regra de coleta de dados e instale o Azure Monitor Agent (AMA) no encaminhador de log. Execute essas tarefas usando o portal do Azure ou do Microsoft Defender ou usando a API de ingestão de logs do Azure Monitor.

• Ao configurar o conector de dados para o Microsoft Sentinel no portal do Azure ou do Microsoft Defender, você pode criar, gerenciar e excluir DCRs por espaço de trabalho. O AMA é instalado automaticamente nas VMs selecionadas na configuração do conector.

• Como alternativa, envie solicitações HTTP para a API de ingestão de logs. Com essa configuração, você pode criar, gerenciar e excluir DCRs. Esta opção é mais flexível do que o portal. Por exemplo, com a API, você pode filtrar por níveis de log específicos. No portal do Azure ou do Defender, você só pode selecionar um nível mínimo de log. A desvantagem de usar esse método é que você precisa instalar manualmente o Azure Monitor Agent no encaminhador de log antes de criar um DCR.

Depois de criar o DCR e o AMA estiver instalado, execute o script "installation" no encaminhador de log. Esse script configura o daemon Syslog para ouvir mensagens de outras máquinas e abrir as portas locais necessárias. Em seguida, configure os dispositivos ou aparelhos de segurança conforme necessário.

Para obter mais informações, consulte os seguintes artigos:

• Ingerir mensagens Syslog e CEF para o Microsoft Sentinel com o Azure Monitor Agent
• CEF via conector de dados AMA - Configurar dispositivo ou dispositivo específico para ingestão de dados do Microsoft Sentinel
• Syslog via conector de dados AMA - Configure um dispositivo ou dispositivo específico para a ingestão de dados do Microsoft Sentinel

Prevenção da duplicação de ingestão de dados

Usar o mesmo recurso para mensagens Syslog e CEF pode resultar em duplicação de ingestão de dados entre as tabelas CommonSecurityLog e Syslog.

Para evitar esse cenário, use um destes métodos:

• Se o dispositivo de origem permitir a configuração do recurso de destino: em cada máquina de origem que envia logs para o encaminhador de log no formato CEF, edite o arquivo de configuração Syslog para remover os recursos usados para enviar mensagens CEF. Desta forma, as facilidades enviadas na CEF não são também enviadas no Syslog. Certifique-se de que cada DCR que você configurar usa o recurso relevante para CEF ou Syslog, respectivamente.

  Para ver um exemplo de como organizar um DCR para ingerir mensagens Syslog e CEF do mesmo agente, vá para fluxos Syslog e CEF no mesmo DCR.

• Se a alteração do recurso para o dispositivo de origem não for aplicável: Depois de criar o DCR, adicione a transformação do tempo de ingestão para filtrar as mensagens CEF do fluxo Syslog para evitar duplicação. Consulte Tutorial: Editar uma regra de coleta de dados (DCR). Adicione a transformação KQL semelhante ao exemplo a seguir:

  "transformKql": "  source\n    |  where ProcessName !contains \"CEF\"\n"
  

Próximos passos

Configurar os conectores de dados