Implantar um encaminhador de log para ingerir logs Syslog e CEF no Microsoft Sentinel

Atenção

Este artigo faz referência ao CentOS, uma distribuição Linux que está se aproximando do status de Fim da Vida Útil (EOL). Por favor, considere o seu uso e planejamento de acordo. Para obter mais informações, consulte as diretrizes de Fim da Vida Útil do CentOS.

Para ingerir os logs Syslog e CEF no Microsoft Sentinel, especialmente de dispositivos e dispositivos nos quais você não pode instalar o agente do Log Analytics diretamente, você precisará designar e configurar uma máquina Linux que coletará os logs de seus dispositivos e os encaminhará para seu espaço de trabalho do Microsoft Sentinel. Essa máquina pode ser uma máquina física ou virtual em seu ambiente local, uma VM do Azure ou uma VM em outra nuvem.

Esta máquina tem dois componentes que participam neste processo:

• Um daemon syslog, rsyslog ou syslog-ng, que coleta os logs.
• O Log Analytics Agent (também conhecido como OMS Agent), que encaminha os logs para o Microsoft Sentinel.

Usando o link fornecido abaixo, você executará um script na máquina designada que executa as seguintes tarefas:

• Instala o agente do Log Analytics para Linux (também conhecido como agente do OMS) e o configura para as seguintes finalidades:

  • escutando mensagens CEF do daemon Linux Syslog integrado na porta TCP 25226
  • enviar as mensagens com segurança por TLS para o seu espaço de trabalho do Microsoft Sentinel, onde são analisadas e enriquecidas

• Configura o daemon Linux Syslog interno (rsyslog.d/syslog-ng) para as seguintes finalidades:

  • escutando mensagens Syslog de suas soluções de segurança na porta TCP 514
  • encaminhando apenas as mensagens que identifica como CEF para o agente do Log Analytics no localhost usando a porta TCP 25226

Importante

O agente do Log Analytics será desativado em 31 de agosto de 2024. Se você estiver usando o agente do Log Analytics em sua implantação do Microsoft Sentinel, recomendamos que comece a planejar sua migração para a AMA. Para obter mais informações, consulte Migração AMA para o Microsoft Sentinel.

Para obter informações sobre como implantar logs Syslog e/ou CEF com o Azure Monitor Agent, examine as opções de streaming de logs no formato CEF e Syslog para o Microsoft Sentinel.

Pré-requisitos

Cada conector de dados tem seu próprio conjunto de pré-requisitos. Os pré-requisitos podem incluir que você deve ter permissões específicas em seu espaço de trabalho, assinatura ou política do Azure. Ou, você deve atender a outros requisitos para a fonte de dados do parceiro à qual está se conectando.

Os pré-requisitos para cada conector de dados estão listados na página do conector de dados relevante no Microsoft Sentinel.

Instale a solução do produto a partir do Content Hub no Microsoft Sentinel. Se o produto não estiver listado, instale a solução para o Common Event Format. Para obter mais informações, consulte Descobrir e gerenciar conteúdo pronto para uso do Microsoft Sentinel.

Importante

As versões do sistema operacional podem ter diferentes datas de suporte e ciclos de vida. Recomendamos que você verifique a documentação oficial de cada distribuição para obter o suporte mais preciso e atualizado e as datas de fim de vida.

Sua máquina deve atender aos seguintes requisitos:

• Hardware (físico/virtual)

  • Sua máquina Linux deve ter um mínimo de 4 núcleos de CPU e 8 GB de RAM.

    Nota

    • Uma única máquina de encaminhador de log com a configuração de hardware acima e usando o daemon rsyslog tem uma capacidade suportada de até 8500 eventos por segundo (EPS) coletados.

• Sistema Operativo

  • CentOS 7 e 8 (não 6), incluindo versões secundárias (64 bits/32 bits)
  • Amazon Linux 2 (apenas 64 bits)
  • Oracle Linux 7, 8 (64 bits/32 bits)
  • Red Hat Enterprise Linux (RHEL) Server 7 e 8 (não 6), incluindo versões secundárias (64 bits/32 bits)
  • Debian GNU/Linux 8 e 9 (64-bit/32-bit)
  • Ubuntu Linux 20.04 LTS (apenas 64 bits)
  • SUSE Linux Enterprise Server 12, 15 (somente 64 bits)

• Versões do Daemon

  • Rsyslog: v8
  • Syslog-ng: 2.1 - 3.22.1

• Pacotes

  • Você deve ter o Python 2.7 ou 3 instalado na máquina Linux.
    Use o python --version comando ou python3 --version para verificar.
  • Você deve ter o pacote GNU Wget .

• Suporte Syslog RFC

  • Syslog RFC 3164 |
  • Syslog RFC 5424

• Configuração

  • Você deve ter permissões elevadas (sudo) em sua máquina Linux designada.
  • A máquina Linux não deve estar conectada a nenhum espaço de trabalho do Azure antes de instalar o agente do Log Analytics.

• Dados

  • Você pode precisar da ID do espaço de trabalho do Microsoft Sentinel e da chave primária do espaço de trabalho em algum momento desse processo. Você pode encontrá-los nas configurações do espaço de trabalho, em Gerenciamento de agentes.

Considerações de segurança

Certifique-se de configurar a segurança da máquina de acordo com a política de segurança da sua organização. Por exemplo, você pode configurar sua rede para se alinhar com sua política de segurança de rede corporativa e alterar as portas e protocolos no daemon para alinhar com seus requisitos. Você pode usar as seguintes instruções para melhorar a configuração de segurança da máquina: VM segura no Azure, Práticas recomendadas para segurança de rede.

Se seus dispositivos estiverem enviando logs Syslog e CEF por TLS (porque, por exemplo, seu encaminhador de log está na nuvem), você precisará configurar o daemon Syslog (rsyslog ou syslog-ng) para se comunicar em TLS. Consulte a seguinte documentação para obter detalhes:

• Encriptação do tráfego Syslog com TLS – rsyslog
• Criptografando mensagens de log com TLS – syslog-ng

Executar o script de implementação

1. No Microsoft Sentinel, selecione Conectores de dados.

2. Selecione o conector para o seu produto na galeria de conectores. Se o seu produto não estiver listado, selecione Formato Comum de Evento (CEF).

3. No painel de detalhes do conector, selecione Abrir página do conector.

4. Na página do conector, nas instruções em 1.2 Instalar o coletor CEF na máquina Linux, copie o link fornecido em Executar o script a seguir para instalar e aplicar o coletor CEF.
   Se você não tiver acesso a essa página, copie o link do texto abaixo (copiando e colando a ID do Espaço de Trabalho e a Chave Primária de cima no lugar dos espaços reservados):

   sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [WorkspaceID] [Workspace Primary Key]
   

5. Cole o link ou o texto na linha de comando no encaminhador de log e execute-o.

6. Enquanto o script estiver em execução, verifique se você não recebe nenhuma mensagem de erro ou aviso.

   • Você pode receber uma mensagem orientando você a executar um comando para corrigir um problema com o mapeamento do campo Computador . Consulte a explicação no script de implantação para obter detalhes.

7. Configure seu dispositivo para enviar mensagens CEF.

   Nota

   Usando a mesma máquina para encaminhar mensagens Syslog e CEF simples

   Se você planeja usar essa máquina de encaminhador de log para encaminhar mensagens Syslog, bem como CEF, para evitar a duplicação de eventos para as tabelas Syslog e CommonSecurityLog:

   1. Em cada máquina de origem que envia logs para o encaminhador no formato CEF, você deve editar o arquivo de configuração Syslog para remover os recursos que estão sendo usados para enviar mensagens CEF. Desta forma, as facilidades que são enviadas no CEF não serão também enviadas no Syslog. Consulte Configurar o Syslog no agente Linux para obter instruções detalhadas sobre como fazer isso.

   2. Você deve executar o seguinte comando nessas máquinas para desabilitar a sincronização do agente com a configuração do Syslog no Microsoft Sentinel. Isso garante que a alteração de configuração feita na etapa anterior não seja substituída.
      sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'

Explicação do script de implantação

A seguir está uma descrição comando a comando das ações do script de implantação.

Escolha um daemon syslog para ver a descrição apropriada.

daemon rsyslog

1. Baixando e instalando o agente do Log Analytics:

   • Baixa o script de instalação para o agente Linux do Log Analytics (OMS).

     wget -O onboard_agent.sh https://raw.githubusercontent.com/Microsoft/OMS-Agent-for-Linux/
         master/installer/scripts/onboard_agent.sh
     

   • Instala o agente do Log Analytics.

     sh onboard_agent.sh -w [workspaceID] -s [Primary Key] -d opinsights.azure.com
     

2. Definindo a configuração do agente do Log Analytics para escutar na porta 25226 e encaminhar mensagens CEF para o Microsoft Sentinel:

   • Baixa a configuração do repositório GitHub do agente do Log Analytics.

     wget -O /etc/opt/microsoft/omsagent/[workspaceID]/conf/omsagent.d/security_events.conf
         https://raw.githubusercontent.com/microsoft/OMS-Agent-for-Linux/master/installer/conf/
         omsagent.d/security_events.conf
     

3. Configurando o daemon Syslog:

   • Abre a porta 514 para comunicação TCP usando o arquivo de /etc/rsyslog.confconfiguração syslog.

   • Configura o daemon para encaminhar mensagens CEF para o agente do Log Analytics na porta TCP 25226, inserindo um arquivo security-config-omsagent.conf de configuração especial no diretório /etc/rsyslog.d/do daemon syslog.

     Conteúdo do security-config-omsagent.conf ficheiro:

     if $rawmsg contains "CEF:" or $rawmsg contains "ASA-" then @@127.0.0.1:25226 
     

4. Reiniciando o daemon Syslog e o agente do Log Analytics:

   • Reinicia o daemon rsyslog.

     service rsyslog restart
     

   • Reinicia o agente do Log Analytics.

     /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

5. Verificando o mapeamento do campo Computador conforme o esperado:

   • Garante que o campo Computador na origem do syslog esteja mapeado corretamente no agente do Log Analytics, usando o seguinte comando:

     grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb
     

   • Se houver um problema com o mapeamento, o script produzirá uma mensagem de erro orientando você a executar manualmente o seguinte comando (aplicando a ID do espaço de trabalho no lugar do espaço reservado). O comando garantirá o mapeamento correto e reiniciará o agente.

     sudo sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

daemon syslog-ng

1. Baixando e instalando o agente do Log Analytics:

   • Baixa o script de instalação para o agente Linux do Log Analytics (OMS).

     wget -O onboard_agent.sh https://raw.githubusercontent.com/Microsoft/OMS-Agent-for-Linux/
         master/installer/scripts/onboard_agent.sh
     

   • Instala o agente do Log Analytics.

     sh onboard_agent.sh -w [workspaceID] -s [Primary Key] -d opinsights.azure.com
     

2. Definindo a configuração do agente do Log Analytics para escutar na porta 25226 e encaminhar mensagens CEF para o Microsoft Sentinel:

   • Baixa a configuração do repositório GitHub do agente do Log Analytics.

     wget -O /etc/opt/microsoft/omsagent/[workspaceID]/conf/omsagent.d/security_events.conf
         https://raw.githubusercontent.com/microsoft/OMS-Agent-for-Linux/master/installer/conf/
         omsagent.d/security_events.conf
     

3. Configurando o daemon Syslog:

   • Abre a porta 514 para comunicação TCP usando o arquivo de /etc/syslog-ng/syslog-ng.confconfiguração syslog.

   • Configura o daemon para encaminhar mensagens CEF para o agente do Log Analytics na porta TCP 25226, inserindo um arquivo security-config-omsagent.conf de configuração especial no diretório /etc/syslog-ng/conf.d/do daemon syslog.

     Conteúdo do security-config-omsagent.conf ficheiro:

     filter f_oms_filter {match("CEF\|ASA" ) ;};destination oms_destination {tcp("127.0.0.1" port(25226));};
     log {source(s_src);filter(f_oms_filter);destination(oms_destination);};
     

4. Reiniciando o daemon Syslog e o agente do Log Analytics:

   • Reinicia o daemon syslog-ng.

     service syslog-ng restart
     

   • Reinicia o agente do Log Analytics.

     /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

5. Verificando o mapeamento do campo Computador conforme o esperado:

   • Garante que o campo Computador na origem do syslog esteja mapeado corretamente no agente do Log Analytics, usando o seguinte comando:

     grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb
     

   • Se houver um problema com o mapeamento, o script produzirá uma mensagem de erro orientando você a executar manualmente o seguinte comando (aplicando a ID do espaço de trabalho no lugar do espaço reservado). O comando garantirá o mapeamento correto e reiniciará o agente.

     sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

Próximos passos

Neste documento, você aprendeu como implantar o agente do Log Analytics para conectar dispositivos CEF ao Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:

• Saiba mais sobre o mapeamento de campo CEF e CommonSecurityLog.
• Saiba como obter visibilidade dos seus dados e potenciais ameaças.
• Comece a detetar ameaças com o Microsoft Sentinel.