Obter registos formatados em CEF a partir do seu dispositivo ou aplicação para o Microsoft Sentinel

Nota

Para obter informações sobre a disponibilidade de funcionalidades em clouds do Governo dos EUA, consulte as tabelas do Microsoft Sentinel na Disponibilidade de funcionalidades da Cloud para clientes do Governo dos EUA.

Muitos dispositivos e aplicações de rede e segurança enviam os registos do sistema através do protocolo Syslog num formato especializado conhecido como Common Event Format (CEF). Este formato inclui mais informações do que o formato Syslog padrão e apresenta as informações numa disposição de chave-valor analisada. O Agente do Log Analytics aceita registos CEF e formate-os especialmente para utilização com o Microsoft Sentinel, antes de os reencaminhar para a sua área de trabalho do Microsoft Sentinel.

Saiba como recolher o Syslog com o AMA, incluindo como configurar o Syslog e criar um DCR.

Importante

Alterações futuras:

• A 28 de fevereiro de 2023, introduzimos alterações ao esquema da tabela CommonSecurityLog.
  • Após esta alteração, poderá ter de rever e atualizar consultas personalizadas. Para obter mais detalhes, veja a secção de ações recomendadas nesta publicação de blogue. O Microsoft Sentinel atualizou os conteúdos inativas (deteções, consultas de investigação, livros, analisadores, etc.).
  • Os dados que foram transmitidos e ingeridos antes da alteração continuarão disponíveis nas colunas e formatos anteriores. Por conseguinte, as colunas antigas permanecerão no esquema.
• A 31 de agosto de 2024, o agente do Log Analytics será descontinuado. Se estiver a utilizar o agente do Log Analytics na sua implementação do Microsoft Sentinel, recomendamos que comece a planear a migração para a AMA. Reveja as opções dos registos de transmissão em fluxo no formato CEF e Syslog para o Microsoft Sentinel.

Este artigo descreve o processo de utilização de registos formatados em CEF para ligar as suas origens de dados. Para obter informações sobre os conectores de dados que utilizam este método, veja Referência de conectores de dados do Microsoft Sentinel.

Existem dois passos principais para efetuar esta ligação, que serão explicados em detalhe abaixo:

• Designar um computador Linux ou uma VM como um reencaminhador de registos dedicado, instalar o agente do Log Analytics no mesmo e configurar o agente para reencaminhar os registos para a sua área de trabalho do Microsoft Sentinel. A instalação e configuração do agente são processadas por um script de implementação.

• Configurar o dispositivo para enviar os registos no formato CEF para um servidor Syslog.

Nota

Os dados são armazenados na localização geográfica da área de trabalho na qual está a executar o Microsoft Sentinel.

Arquiteturas suportadas

O diagrama seguinte descreve a configuração no caso de uma VM do Linux no Azure:

Em alternativa, irá utilizar a seguinte configuração se utilizar uma VM noutra cloud ou num computador no local:

Pré-requisitos

É necessária uma área de trabalho do Microsoft Sentinel para ingerir dados CEF no Log Analytics.

• Tem de ter permissões de leitura e escrita nesta área de trabalho.

• Tem de ter permissões de leitura para as chaves partilhadas da área de trabalho. Saiba mais sobre as chaves da área de trabalho.

Designar um reencaminhador de registos e instalar o agente do Log Analytics

Esta secção descreve como designar e configurar o computador Linux que irá reencaminhar os registos do seu dispositivo para a área de trabalho do Microsoft Sentinel.

O seu computador Linux pode ser uma máquina física ou virtual no seu ambiente no local, numa VM do Azure ou numa VM noutra cloud.

Utilize a ligação fornecida na página do conector de dados Common Event Format (CEF) para executar um script no computador designado e executar as seguintes tarefas:

• Instala o agente do Log Analytics para Linux (também conhecido como agente OMS) e configura-o para os seguintes fins:

  • escutar mensagens CEF do daemon Syslog do Linux incorporado na porta TCP 25226
  • enviar as mensagens de forma segura através do TLS para a sua área de trabalho do Microsoft Sentinel, onde são analisadas e melhoradas

• Configura o daemon Syslog do Linux incorporado (rsyslog.d/syslog-ng) para os seguintes fins:

  • escutar mensagens do Syslog a partir das suas soluções de segurança na porta TCP 514
  • reencaminhar apenas as mensagens que identifica como CEF para o agente do Log Analytics no localhost com a porta TCP 25226

Para obter mais informações, veja Implementar um reencaminhador de registos para ingerir registos Syslog e CEF no Microsoft Sentinel.

Considerações de segurança

Certifique-se de que configura a segurança do computador de acordo com a política de segurança da sua organização. Por exemplo, pode configurar a sua rede para se alinhar com a política de segurança de rede empresarial e alterar as portas e os protocolos no daemon para se alinhar com os seus requisitos.

Para obter mais informações, veja Secure VM in Azure and Best practices for Network security ( Proteger A VM no Azure e Melhores práticas para a segurança de rede).

Se os seus dispositivos estiverem a enviar registos Syslog e CEF através de TLS, como quando o reencaminhador de registos está na nuvem, terá de configurar o daemon do Syslog (rsyslog ou syslog-ng) para comunicar no TLS.

Para obter mais informações, consulte:

• Encriptar o tráfego do Syslog com o TLS – rsyslog
• Encriptar mensagens de registo com TLS – syslog-ng

Configurar o seu dispositivo

Localize e siga as instruções de configuração do fornecedor do dispositivo para enviar registos no formato CEF para um SIEM ou servidor de registos.

Se o seu produto aparecer na galeria de conectores de dados, pode consultar a referência de conectores de dados do Microsoft Sentinel para obter assistência, onde as instruções de configuração devem incluir as definições na lista abaixo.

• Protocolo = TCP
• Porta = 514
• Formatar = CEF
• Endereço IP – certifique-se de que envia as mensagens CEF para o endereço IP da máquina virtual que dedicou para esta finalidade.

Esta solução suporta o Syslog RFC 3164 ou RFC 5424.

Dica

Defina um protocolo ou número de porta diferente no seu dispositivo conforme necessário, desde que também faça as mesmas alterações no daemon do Syslog no reencaminhador de registos.

Localizar os seus dados

Pode demorar até 20 minutos após a ligação ser efetuada para que os dados sejam apresentados no Log Analytics.

Para procurar eventos CEF no Log Analytics, consulte a CommonSecurityLog tabela na janela de consulta.

Alguns produtos listados na galeria de conectores de dados requerem a utilização de parsers adicionais para obter melhores resultados. Estes parsers são implementados através da utilização de funções kusto. Para obter mais informações, consulte a secção do seu produto na página de referência dos conectores de dados do Microsoft Sentinel .

Para encontrar eventos CEF para estes produtos, introduza o nome da função Kusto como assunto da consulta, em vez de "CommonSecurityLog".

Pode encontrar exemplos úteis de consultas, livros e modelos de regras de análise feitos especialmente para o seu produto no separador Passos seguintes da página do conector de dados do seu produto no portal do Microsoft Sentinel.

Se não vir dados, consulte a página de resolução de problemas do CEF para obter orientações.

Alterar a origem do campo TimeGenerated

Por predefinição, o agente do Log Analytics preenche o campo TimeGenerated no esquema com a hora em que o agente recebeu o evento do daemon do Syslog. Como resultado, a hora em que o evento foi gerado no sistema de origem não é registada no Microsoft Sentinel.

No entanto, pode executar o seguinte comando, que irá transferir e executar o TimeGenerated.py script. Este script configura o agente do Log Analytics para preencher o campo TimeGenerated com a hora original do evento no sistema de origem, em vez da hora em que foi recebido pelo agente.

wget -O TimeGenerated.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/TimeGenerated.py && python TimeGenerated.py {ws_id}

Passos seguintes

Neste documento, aprendeu como o Microsoft Sentinel recolhe registos CEF de dispositivos e aplicações. Para saber mais sobre como ligar o seu produto ao Microsoft Sentinel, consulte os seguintes artigos:

• Implementar um reencaminhador Syslog/CEF
• Referência de conectores de dados do Microsoft Sentinel
• Resolver problemas de conectividade do reencaminhador de registos

Para saber mais sobre o que fazer com os dados recolhidos no Microsoft Sentinel, consulte os seguintes artigos:

• Saiba mais sobre o mapeamento de campos CEF e CommonSecurityLog.
• Saiba como obter visibilidade sobre os seus dados e potenciais ameaças.
• Introdução à deteção de ameaças com o Microsoft Sentinel.