Recolher dados de origens baseadas no Linux com o Syslog

Nota

Para obter informações sobre a disponibilidade de funcionalidades em clouds do Governo dos EUA, veja as tabelas do Microsoft Sentinel na Disponibilidade de funcionalidades da Cloud para clientes do Governo dos EUA.

O Syslog é um protocolo de registo de eventos comum ao Linux. Pode utilizar o daemon do Syslog incorporado em dispositivos e aplicações Linux para recolher eventos locais dos tipos que especificar e fazer com que este envie esses eventos para Microsoft Sentinel com o agente do Log Analytics para Linux (anteriormente conhecido como agente OMS).

Este artigo descreve como ligar as origens de dados ao Microsoft Sentinel com o Syslog. Para obter mais informações sobre conectores suportados para este método, veja Referência de conectores de dados.

Importante

O agente do Log Analytics será descontinuado a 31 de agosto de 2024. Se estiver a utilizar o agente do Log Analytics na implementação do Microsoft Sentinel, recomendamos que comece a planear a migração para a AMA. Para obter mais informações, veja Migração AMA para Microsoft Sentinel.

Arquitetura

Quando o agente do Log Analytics está instalado na VM ou na aplicação, o script de instalação configura o daemon Syslog local para reencaminhar mensagens para o agente na porta UDP 25224. Depois de receber as mensagens, o agente envia-as para a área de trabalho do Log Analytics através de HTTPS, onde são ingeridas na tabela Syslog no Microsoft Registos do Sentinel>.

Para obter mais informações, veja Origens de dados do Syslog no Azure Monitor.

Este diagrama mostra o fluxo de dados de origens de syslog para a área de trabalho do Microsoft Sentinel, onde o agente do Log Analytics está instalado diretamente no dispositivo de origem de dados.

Para alguns tipos de dispositivo que não permitem a instalação local do agente do Log Analytics, o agente pode ser instalado num reencaminhador de registos dedicado baseado no Linux. O dispositivo de origem tem de ser configurado para enviar eventos do Syslog para o daemon do Syslog neste reencaminhador em vez do daemon local. O daemon do Syslog no reencaminhador envia eventos para o agente do Log Analytics através do UDP. Se se espera que este reencaminhador do Linux recolha um grande volume de eventos do Syslog, o daemon do Syslog envia eventos para o agente através de TCP. Em ambos os casos, o agente envia os eventos a partir daí para a área de trabalho do Log Analytics no Microsoft Sentinel.

Este diagrama mostra o fluxo de dados de origens de syslog para a área de trabalho do Microsoft Sentinel, onde o agente do Log Analytics está instalado num dispositivo de reencaminhamento de registos separado.

Nota

  • Se a aplicação suportar o Common Event Format (CEF) através do Syslog, é recolhido um conjunto de dados mais completo e os dados são analisados na coleção. Deve escolher esta opção e seguir as instruções em Obter registos formatados em CEF do seu dispositivo ou aplicação para Microsoft Sentinel.

  • O Log Analytics suporta a recolha de mensagens enviadas pelos daemons rsyslog ou syslog-ng , em que rsyslog é a predefinição. O daemon syslog predefinido na versão 5 do Red Hat Enterprise Linux (RHEL), CentOS e Oracle Linux version (sysklog) não é suportado para a coleção de eventos syslog. Para recolher dados do syslog desta versão destas distribuições, o daemon rsyslog deve ser instalado e configurado para substituir o sysklog.

Existem três passos para configurar a coleção do Syslog:

  • Configure o seu dispositivo ou aplicação Linux. Isto refere-se ao dispositivo no qual o agente do Log Analytics será instalado, quer seja o mesmo dispositivo que origina os eventos ou um recoletor de registos que os reencaminhará.

  • Configure as definições de registo da sua aplicação correspondentes à localização do daemon do Syslog que irá enviar eventos para o agente.

  • Configure o próprio agente do Log Analytics. Isto é feito a partir do Microsoft Sentinel e a configuração é enviada para todos os agentes instalados.

Configurar a sua máquina ou aplicação Linux

  1. No menu de navegação Microsoft Sentinel, selecione Conectores de dados.

  2. Na galeria de conectores, selecione Syslog e, em seguida, selecione Abrir página do conector.

    Se o seu tipo de dispositivo estiver listado na galeria de conectores de Dados do Microsoft Sentinel, selecione o conector do seu dispositivo em vez do conector Syslog genérico. Se existirem instruções adicionais ou especiais para o seu tipo de dispositivo, irá vê-las, juntamente com conteúdos personalizados, como livros e modelos de regras de análise, na página do conector do seu dispositivo.

  3. Instale o agente linux. Em Escolher onde instalar o agente:

    Tipo de máquina Instruções
    Para uma VM do Linux do Azure 1. Expanda Instalar o agente na máquina virtual do Linux do Azure.

    2. Selecione a ligação Transferir & o agente de instalação das Máquinas >virtuais do Linux do Azure.

    3. No painel Máquinas virtuais, selecione uma máquina virtual para instalar o agente e, em seguida, selecione Ligar. Repita este passo para cada VM que pretende ligar.
    Para qualquer outro computador Linux 1. Expandir o agente de instalação num Computador Linux não Azure

    2. Selecione a ligação Transferir & o agente de instalação para computadores >Linux não Azure.

    3. No painel Gestão de agentes , selecione o separador Servidores Linux e, em seguida, copie o comando para Transferir e integrar o agente para Linux e execute-o no seu computador Linux.

    Se quiser manter uma cópia local do ficheiro de instalação do agente Linux, selecione a ligação Transferir Agente Linux acima do comando "Transferir e integrar o agente".

    Nota

    Certifique-se de que configura as definições de segurança para estes dispositivos de acordo com a política de segurança da sua organização. Por exemplo, pode configurar as definições de rede para se alinharem com a política de segurança de rede da sua organização e alterar as portas e os protocolos no daemon para se alinharem com os requisitos de segurança.

Utilizar o mesmo computador para reencaminhar mensagens simples do Syslog e do CEF

Também pode utilizar o seu computador reencaminhador de registos CEF existente para recolher e reencaminhar registos de origens simples do Syslog. No entanto, tem de executar os seguintes passos para evitar o envio de eventos em ambos os formatos para Microsoft Sentinel, uma vez que tal resultará na duplicação de eventos.

Depois de já ter configurado a recolha de dados a partir das origens do CEF e de ter configurado o agente do Log Analytics:

  1. Em cada computador que envia registos no formato CEF, tem de editar o ficheiro de configuração do Syslog para remover as instalações que estão a ser utilizadas para enviar mensagens CEF. Desta forma, as instalações enviadas no CEF também não serão enviadas no Syslog. Veja Configurar o Syslog no agente Linux para obter instruções detalhadas sobre como fazê-lo.

  2. Tem de executar o seguinte comando nesses computadores para desativar a sincronização do agente com a configuração do Syslog no Microsoft Sentinel. Isto garante que a alteração de configuração efetuada no passo anterior não é substituída.

    sudo -u omsagent python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable
    

Configurar as definições de registo do dispositivo

Muitos tipos de dispositivos têm os seus próprios conectores de dados apresentados na galeria Conectores de dados . Alguns destes conectores necessitam de instruções adicionais especiais para configurar corretamente a coleção de registos no Microsoft Sentinel. Estas instruções podem incluir a implementação de um analisador com base numa função Kusto.

Todos os conectores listados na galeria apresentarão instruções específicas nas respetivas páginas de conector no portal, bem como nas respetivas secções da página de referência dos conectores de dados do Microsoft Sentinel.

Se as instruções na página do conector de dados no Microsoft Sentinel indicarem que as funções kusto são implementadas como parsers do Modelo de Informação de Segurança Avançada (ASIM), certifique-se de que tem os parsers ASIM implementados na área de trabalho.

Utilize a ligação na página do conector de dados para implementar os seus parsers ou siga as instruções do repositório do GitHub do Microsoft Sentinel.

Para obter mais informações, veja Análises avançadas do Modelo de Informação de Segurança (ASIM).

Configurar o agente do Log Analytics

  1. Na parte inferior do painel do conector do Syslog, selecione a ligação De configuração >Abrir os agentes da área de trabalho.

  2. No painel Configuração de agentes , selecione o separador Syslog . Em seguida, adicione as instalações para o conector recolher. Selecione Adicionar instalação e escolha a partir da lista pendente de instalações.

    • Adicione as instalações que a sua aplicação syslog inclui nos respetivos cabeçalhos de registo.

    • Se quiser utilizar a deteção de início de sessão SSH anómalo com os dados que recolhe, adicione autenticação e authpriv. Veja a secção seguinte para obter detalhes adicionais.

  3. Quando tiver adicionado todas as instalações que pretende monitorizar, desmarque as caixas de verificação para quaisquer gravidades que não queira recolher. Por predefinição, estão todos marcados.

  4. Selecione Aplicar.

  5. Na sua VM ou aplicação, certifique-se de que está a enviar as instalações que especificou.

Localizar os seus dados

  1. Para consultar os dados de registo do syslog em Registos, escreva Syslog na janela de consulta.

    (Alguns conectores que utilizam o mecanismo Syslog podem armazenar os respetivos dados em tabelas diferentes de Syslog. Consulte a secção do conector na página de referência de conectores de dados do Microsoft Sentinel.)

  2. Pode utilizar os parâmetros de consulta descritos em Utilizar funções nas consultas de registo do Azure Monitor para analisar as suas mensagens do Syslog. Em seguida, pode guardar a consulta como uma nova função do Log Analytics e utilizá-la como um novo tipo de dados.

Configurar o conector Syslog para deteção de início de sessão SSH anómalo

Importante

A deteção de início de sessão SSH anómalo está atualmente em PRÉ-VISUALIZAÇÃO. Veja Os Termos de Utilização Suplementares para Microsoft Pré-visualizações do Azure para obter termos legais adicionais aplicáveis às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Microsoft Sentinel pode aplicar machine learning (ML) aos dados do syslog para identificar a atividade de início de sessão do Secure Shell (SSH) anómalo. Os cenários incluem:

  • Viagem impossível – quando dois eventos de início de sessão bem-sucedidos ocorrem a partir de duas localizações que são impossíveis de alcançar dentro do período de tempo dos dois eventos de início de sessão.

  • Localização inesperada – a localização a partir da qual ocorreu um evento de início de sessão bem-sucedido é suspeita. Por exemplo, a localização não foi vista recentemente.

Esta deteção requer uma configuração específica do conector de dados do Syslog:

  1. Para o passo 2 em Configurar o agente do Log Analytics acima, certifique-se de que a autenticação e o authpriv estão selecionados como instalações a monitorizar e que todas as gravidades estão selecionadas.

  2. Aguarde tempo suficiente para que as informações do syslog sejam recolhidas. Em seguida, navegue para Microsoft Sentinel – Registos e copie e cole a seguinte consulta:

    Syslog
    | where Facility in ("authpriv","auth")
    | extend c = extract( "Accepted\\s(publickey|password|keyboard-interactive/pam)\\sfor ([^\\s]+)",1,SyslogMessage)
    | where isnotempty(c)
    | count 
    

    Altere o Intervalo de tempo , se necessário, e selecione Executar.

    Se a contagem resultante for zero, confirme a configuração do conector e se os computadores monitorizados têm uma atividade de início de sessão bem-sucedida durante o período de tempo que especificou para a consulta.

    Se a contagem resultante for superior a zero, os dados do syslog são adequados para a deteção de início de sessão SSH anómalo. Pode ativar esta deteção a partir da Deteção de Início de SSH Anómalo dosmodelos> de Regra de Análise> (Pré-visualização).

Passos seguintes

Neste documento, aprendeu a ligar aplicações do Syslog no local ao Microsoft Sentinel. Para saber mais sobre Microsoft Sentinel, consulte os seguintes artigos: