Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Внимание
Сбор журналов из многих устройств теперь поддерживается Общим Форматом Событий (CEF) через AMA, Syslog через AMA, или настраиваемые журналы через коннектор AMA в Microsoft Sentinel. Дополнительные сведения см. в статье "Поиск соединителя данных Microsoft Sentinel".
Многие сетевые и защитные устройства и устройства отправляют свои системные журналы по протоколу Syslog в специальном формате, известном как общий формат событий (CEF). Этот формат включает в себя больше информации, чем стандартный формат системного журнала, и представляет информацию в виде проанализированной структуры «ключ-значение». Агент Log Analytics принимает журналы CEF и форматирует их специально для использования с Microsoft Sentinel, прежде чем пересылать в рабочую область Microsoft Sentinel.
Узнайте, как собирать системный журнал с помощью AMA, включая настройку системного журнала и создание DCR.
Внимание
Предстоящие изменения:
-
28 февраля 2023 года мы внесли изменения в схему таблицы CommonSecurityLog.
- После этого изменения может потребоваться просмотреть и обновить пользовательские запросы. Дополнительные сведения см. в разделе рекомендуемых действий в этой записи блога. Готовое содержимое (обнаружения, запросы для активного поиска угроз, рабочие книги, парсеры и т. д.) было обновлено в Microsoft Sentinel.
- Данные, которые были переданы в поток и загружены до изменения, по-прежнему будут доступны в прежних столбцах и форматах. Поэтому старые столбцы останутся в схеме.
- 31 августа 2024 г. агент Log Analytics будет прекращен. Если вы используете агент Log Analytics в развертывании Microsoft Sentinel, рекомендуется приступить к планированию миграции в AMA. Просмотрите параметры потоковой передачи журналов в формате CEF и Syslog в Microsoft Sentinel.
В этой статье описывается процесс использования журналов в формате CEF для подключения ваших источников данных. Сведения о соединителях данных, использующих этот метод, см. в справочнике по соединителям данных Microsoft Sentinel.
Есть два основных шага для установления этого соединения, которые будут подробно объяснены ниже:
Назначение компьютера или виртуальной машины Linux в качестве выделенного сервера пересылки журналов, установка на нем агента Log Analytics и настройка агента для пересылки журналов в рабочую область Microsoft Sentinel. Установка и настройка агента выполняется с помощью сценария развертывания.
Настройка устройства для отправки журналов в формате CEF на сервер системного журнала.
Примечание.
Данные хранятся в географическом местоположении рабочей области, где работает Microsoft Sentinel.
Поддерживаемые архитектуры
На этой схеме показана настройка в случае виртуальной машины Linux в Azure:
В качестве альтернативы вы можете использовать следующую настройку, если используете виртуальную машину в другом облаке или на локальном компьютере:
Требования
Для приема данных CEF в Log Analytics требуется рабочая область Microsoft Sentinel.
У вас должны быть разрешения на чтение и запись в этой рабочей области.
У вас должны быть разрешения на чтение общих ключей для рабочей области. Дополнительные сведения о ключах рабочей области.
Назначьте сервер пересылки журналов и установите агент Log Analytics
В этом разделе описывается, как назначить и настроить компьютер Linux, который будет пересылать журналы с вашего устройства в рабочую область Microsoft Sentinel.
Ваша машина Linux может быть физической или виртуальной машиной в вашей локальной среде, виртуальной машиной Azure или виртуальной машиной в другом облаке.
Используйте ссылку, указанную на странице соединителя данных common Event Format (CEF), чтобы запустить скрипт на указанном компьютере и выполнить следующие задачи:
Устанавливает агент Log Analytics для Linux (также известный как агент OMS) и настраивает его в следующих целях:
- мониторинг сообщений CEF от встроенного демона Syslog Linux на TCP-порте 25226.
- безопасная отправка сообщений по протоколу TLS в рабочую область Microsoft Sentinel, где они анализируются и обогащаются.
Настраивает встроенную управляемую программу Системного журнала Linux (rsyslog.d/syslog-ng) для следующих целей:
- прослушивание сообщений системного журнала от решений безопасности через TCP-порт 514;
- переадресация только тех сообщений, которые идентифицируются как CEF, агенту анализа журналов на localhost с помощью TCP-порта 25226.
Дополнительные сведения см. в статье "Развертывание средства пересылки журналов для приема журналов Syslog и CEF" в Microsoft Sentinel.
Вопросы безопасности
Настраивать безопасность машины необходимо в соответствии с политикой безопасности организации. Например, вы можете настроить сеть в соответствии с корпоративной политикой безопасности сети, изменив порты и протоколы в управляющей программе согласно своим требованиям.
Дополнительные сведения см. в статье "Безопасная виртуальная машина в Azure " и рекомендации по обеспечению безопасности сети.
Если ваши устройства отправляют журналы Syslog и CEF через TLS, например, когда ваш сервер пересылки журналов находится в облаке, вам необходимо настроить демон Syslog (rsyslog или syslog-ng) для связи по TLS.
Дополнительные сведения см. в разделе:
- Шифрование трафика системного журнала с помощью TLS — rsyslog
- Шифрование сообщений журнала с помощью TLS — syslog-ng
Настройка устройства
Найдите и следуйте инструкциям производителя вашего устройства по настройке для отправки журналов в формате CEF на SIEM или сервер журналов.
Если продукт отображается в коллекции соединителей данных, вы можете обратиться к справочным ссылкам по соединителям данных Microsoft Sentinel , где инструкции по настройке должны содержать параметры в списке ниже.
- Протокол = TCP
- Порт = 514
- Формат = CEF
- IP-адрес — не забудьте отправить сообщения CEF по IP-адресу виртуальной машины, выделенной для этой цели.
Это решение поддерживает Syslog RFC 3164 или RFC 5424.
Совет
При необходимости определите другой протокол или номер порта на вашем устройстве, если вы также внесете те же изменения в демон Syslog на сервере пересылки журналов.
Поиск данных
После установки подключения данные могут появиться в Log Analytics спустя до 20 минут.
Для поиска событий CEF в Log Analytics запросите таблицу CommonSecurityLog в окне запроса.
Некоторые продукты, перечисленные в галерее соединителей данных, требуют использования дополнительных анализаторов для достижения наилучших результатов. Эти средства синтаксического анализа реализуются с помощью функций Kusto. Дополнительные сведения см. на справочной странице соединителей данных Microsoft Sentinel в разделе о вашем продукте.
Чтобы найти события CEF для этих продуктов, введите имя функции Kusto в качестве темы запроса вместо «CommonSecurityLog».
Вы можете найти полезные примеры запросов, книг и шаблонов правил аналитики, сделанных специально для вашего продукта на вкладке "Дальнейшие шаги " на странице соединителя данных продукта на портале Microsoft Sentinel.
Если вы не видите данные, посмотрите страницу устранения неполадок CEF для получения рекомендаций.
Изменение источника атрибута TimeGenerated
По умолчанию агент Log Analytics заполняет поле TimeGenerated в схеме временем, когда агент получил событие из управляющей программы Syslog. В результате время, когда событие было создано в исходной системе, не записывается в Microsoft Sentinel.
Тем не менее можно выполнить следующую команду, которая поможет загрузить и запустить скрипт TimeGenerated.py. Этот скрипт настраивает агент Log Analytics для заполнения поля TimeGenerated исходным временем события в исходной системе, а не времени получения агентом.
wget -O TimeGenerated.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/TimeGenerated.py && python TimeGenerated.py {ws_id}
Следующие шаги
Из этого документа вы узнали, как Microsoft Sentinel собирает журналы CEF с устройств и оборудования. Дополнительные сведения о подключении продукта к Microsoft Sentinel см. в следующих статьях:
- Развертывание сервера пересылки Syslog/CEF
- Справочник по соединителям данных Microsoft Sentinel
- Устранение неполадок с подключением пересылки журналов
Дополнительные сведения о том, что делать с данными, собранными в Microsoft Sentinel, см. в следующих статьях:
- Узнайте о сопоставлении полей CEF и CommonSecurityLog.
- Узнайте, как получить представление о данных и потенциальных угрозах.
- Начните с обнаружения угроз с помощью Microsoft Sentinel.