Distribuera en loggvidare för att mata in Syslog- och CEF-loggar till Microsoft Sentinel

Varning

Den här artikeln refererar till CentOS, en Linux-distribution som närmar sig EOL-status (End Of Life). Överväg att använda och planera i enlighet med detta. Mer information finns i CentOS End Of Life-vägledningen.

Om du vill mata in Syslog- och CEF-loggar i Microsoft Sentinel, särskilt från enheter och enheter där du inte kan installera Log Analytics-agenten direkt, måste du ange och konfigurera en Linux-dator som samlar in loggarna från dina enheter och vidarebefordrar dem till din Microsoft Sentinel-arbetsyta. Den här datorn kan vara en fysisk eller virtuell dator i din lokala miljö, en virtuell Azure-dator eller en virtuell dator i ett annat moln.

Den här datorn har två komponenter som deltar i den här processen:

• En syslog-daemon, antingen rsyslog eller syslog-ng, som samlar in loggarna.
• Log Analytics-agenten (även kallad OMS-agenten) som vidarebefordrar loggarna till Microsoft Sentinel.

Med hjälp av länken nedan kör du ett skript på den avsedda datorn som utför följande uppgifter:

• Installerar Log Analytics-agenten för Linux (kallas även OMS-agenten) och konfigurerar den i följande syfte:

  • lyssna efter CEF-meddelanden från den inbyggda Linux Syslog-daemonen på TCP-port 25226
  • skicka meddelandena säkert via TLS till din Microsoft Sentinel-arbetsyta, där de parsas och berikas

• Konfigurerar den inbyggda Linux Syslog-daemonen (rsyslog.d/syslog-ng) i följande syfte:

  • lyssna efter Syslog-meddelanden från dina säkerhetslösningar på TCP-port 514
  • vidarebefordra endast de meddelanden som identifieras som CEF till Log Analytics-agenten på localhost med TCP-port 25226

Viktigt!

Log Analytics-agenten dras tillbaka den 31 augusti 2024. Om du använder Log Analytics-agenten i din Microsoft Sentinel-distribution rekommenderar vi att du börjar planera migreringen till AMA. Mer information finns i AMA-migrering för Microsoft Sentinel.

Information om hur du distribuerar Syslog- och/eller CEF-loggar med Azure Monitor-agenten finns i alternativen för strömmande loggar i CEF- och Syslog-format till Microsoft Sentinel.

Förutsättningar

Varje dataanslutning har en egen uppsättning krav. Krav kan vara att du måste ha specifika behörigheter för din Azure-arbetsyta, prenumeration eller princip. Eller så måste du uppfylla andra krav för den partnerdatakälla som du ansluter till.

Krav för varje dataanslutningsapp visas på relevant dataanslutningssida i Microsoft Sentinel.

Installera produktlösningen från innehållshubben i Microsoft Sentinel. Om produkten inte visas installerar du lösningen för Common Event Format. Mer information finns i Identifiera och hantera innehåll i Microsoft Sentinel out-of-the-box.

Viktigt!

Operativsystemversioner kan ha olika supportdatum och livscykeler. Vi rekommenderar att du kontrollerar den officiella dokumentationen för varje distribution för de mest exakta och aktuella support- och slutdatumen.

Datorn måste uppfylla följande krav:

• Maskinvara (fysisk/virtuell)

  • Linux-datorn måste ha minst 4 CPU-kärnor och 8 GB RAM-minne.

    Kommentar

    • En enda loggvidare med ovanstående maskinvarukonfiguration och med daemonen rsyslog har en kapacitet som stöds på upp till 8 500 händelser per sekund (EPS) insamlad.

• Operativsystem

  • CentOS 7 och 8 (inte 6), inklusive mindre versioner (64-bitars/32-bitars)
  • Amazon Linux 2 (endast 64-bitars)
  • Oracle Linux 7, 8 (64-bitars/32-bitars)
  • Red Hat Enterprise Linux (RHEL) Server 7 och 8 (inte 6), inklusive mindre versioner (64-bitars/32-bitars)
  • Debian GNU/Linux 8 och 9 (64-bitars/32-bitars)
  • Ubuntu Linux 20.04 LTS (endast 64-bitars)
  • SUSE Linux Enterprise Server 12, 15 (endast 64-bitars)

• Daemonversioner

  • Rsyslog: v8
  • Syslog-ng: 2.1 - 3.22.1

• Paket

  • Python 2.7 eller 3 måste vara installerat på Linux-datorn.
    python --version Använd kommandot eller python3 --version för att kontrollera.
  • Du måste ha GNU Wget-paketet .

• Stöd för Syslog RFC

  • Syslog RFC 3164
  • Syslog RFC 5424

• Konfiguration

  • Du måste ha utökade behörigheter (sudo) på din avsedda Linux-dator.
  • Linux-datorn får inte vara ansluten till några Azure-arbetsytor innan du installerar Log Analytics-agenten.

• Data

  • Du kan behöva microsoft Sentinel-arbetsytans arbetsyte-ID och primärnyckel för arbetsyta någon gång i den här processen. Du hittar dem i inställningarna för arbetsytan under Agenthantering.

Säkerhetsfrågor

Se till att konfigurera datorns säkerhet enligt organisationens säkerhetsprincip. Du kan till exempel konfigurera nätverket så att det överensstämmer med företagets nätverkssäkerhetsprincip och ändra portarna och protokollen i daemonen så att de överensstämmer med dina krav. Du kan använda följande instruktioner för att förbättra datorns säkerhetskonfiguration: Säker virtuell dator i Azure, Metodtips för nätverkssäkerhet.

Om dina enheter skickar Syslog- och CEF-loggar via TLS (eftersom till exempel loggvidare finns i molnet) måste du konfigurera Syslog-daemon (rsyslog eller syslog-ng) för att kommunicera i TLS. Mer information finns i följande dokumentation:

• Kryptera Syslog-trafik med TLS – rsyslog
• Kryptera loggmeddelanden med TLS – syslog-ng

Kör distributionsskriptet

1. I Microsoft Sentinel väljer du Dataanslutningsprogram.

2. Välj anslutningsappen för din produkt från anslutningsgalleriet. Om produkten inte visas väljer du Common Event Format (CEF).

3. I informationsfönstret för anslutningsappen väljer du Sidan Öppna anslutningsapp.

4. På anslutningssidan i anvisningarna under 1.2 Installera CEF-insamlaren på Linux-datorn kopierar du länken under Kör följande skript för att installera och tillämpa CEF-insamlaren.
   Om du inte har åtkomst till den sidan kopierar du länken från texten nedan (kopierar och klistrar in arbetsyte-ID :t och primärnyckeln ovan i stället för platshållarna):

   sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [WorkspaceID] [Workspace Primary Key]
   

5. Klistra in länken eller texten i kommandoraden på loggvidare och kör den.

6. När skriptet körs kontrollerar du att du inte får några felmeddelanden eller varningsmeddelanden.

   • Du kan få ett meddelande som instruerar dig att köra ett kommando för att åtgärda ett problem med mappningen av fältet Dator . Mer information finns i förklaringen i distributionsskriptet .

7. Konfigurera enheten för att skicka CEF-meddelanden.

   Kommentar

   Använda samma dator för att vidarebefordra både vanliga Syslog - och CEF-meddelanden

   Om du planerar att använda den här loggvidaredatorn för att vidarebefordra Syslog-meddelanden samt CEF kan du undvika duplicering av händelser till tabellerna Syslog och CommonSecurityLog:

   1. På varje källdator som skickar loggar till vidarebefordraren i CEF-format måste du redigera Syslog-konfigurationsfilen för att ta bort de resurser som används för att skicka CEF-meddelanden. På så sätt skickas inte även de anläggningar som skickas i CEF i Syslog. Mer information om hur du gör detta finns i Konfigurera Syslog på Linux-agenten .

   2. Du måste köra följande kommando på dessa datorer för att inaktivera synkroniseringen av agenten med Syslog-konfigurationen i Microsoft Sentinel. Detta säkerställer att konfigurationsändringen som du gjorde i föregående steg inte skrivs över.
      sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'

Förklaring av distributionsskript

Följande är en kommando-för-kommando-beskrivning av åtgärderna i distributionsskriptet.

Välj en syslog-daemon för att se lämplig beskrivning.

rsyslog daemon

1. Ladda ned och installera Log Analytics-agenten:

   • Laddar ned installationsskriptet för Log Analytics -Linux-agenten (OMS).

     wget -O onboard_agent.sh https://raw.githubusercontent.com/Microsoft/OMS-Agent-for-Linux/
         master/installer/scripts/onboard_agent.sh
     

   • Installerar Log Analytics-agenten.

     sh onboard_agent.sh -w [workspaceID] -s [Primary Key] -d opinsights.azure.com
     

2. Ange Log Analytics-agentkonfigurationen så att den lyssnar på port 25226 och vidarebefordrar CEF-meddelanden till Microsoft Sentinel:

   • Laddar ned konfigurationen från Log Analytics-agentens GitHub-lagringsplats.

     wget -O /etc/opt/microsoft/omsagent/[workspaceID]/conf/omsagent.d/security_events.conf
         https://raw.githubusercontent.com/microsoft/OMS-Agent-for-Linux/master/installer/conf/
         omsagent.d/security_events.conf
     

3. Konfigurera Syslog-daemon:

   • Öppnar port 514 för TCP-kommunikation med hjälp av syslog-konfigurationsfilen /etc/rsyslog.conf.

   • Konfigurerar daemon för att vidarebefordra CEF-meddelanden till Log Analytics-agenten på TCP-port 25226 genom att infoga en särskild konfigurationsfil security-config-omsagent.conf i syslog daemon-katalogen /etc/rsyslog.d/.

     Innehållet i security-config-omsagent.conf filen:

     if $rawmsg contains "CEF:" or $rawmsg contains "ASA-" then @@127.0.0.1:25226 
     

4. Starta om Syslog-daemonen och Log Analytics-agenten:

   • Startar om daemonen rsyslog.

     service rsyslog restart
     

   • Startar om Log Analytics-agenten.

     /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

5. Verifierar mappningen av fältet Dator som förväntat:

   • Ser till att fältet Dator i syslog-källan är korrekt mappat i Log Analytics-agenten med hjälp av följande kommando:

     grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb
     

   • Om det finns ett problem med mappningen skapar skriptet ett felmeddelande som instruerar dig att manuellt köra följande kommando (tillämpa arbetsyte-ID:t i stället för platshållaren). Kommandot säkerställer rätt mappning och startar om agenten.

     sudo sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

syslog-ng daemon

1. Ladda ned och installera Log Analytics-agenten:

   • Laddar ned installationsskriptet för Log Analytics -Linux-agenten (OMS).

     wget -O onboard_agent.sh https://raw.githubusercontent.com/Microsoft/OMS-Agent-for-Linux/
         master/installer/scripts/onboard_agent.sh
     

   • Installerar Log Analytics-agenten.

     sh onboard_agent.sh -w [workspaceID] -s [Primary Key] -d opinsights.azure.com
     

2. Ange Log Analytics-agentkonfigurationen så att den lyssnar på port 25226 och vidarebefordrar CEF-meddelanden till Microsoft Sentinel:

   • Laddar ned konfigurationen från Log Analytics-agentens GitHub-lagringsplats.

     wget -O /etc/opt/microsoft/omsagent/[workspaceID]/conf/omsagent.d/security_events.conf
         https://raw.githubusercontent.com/microsoft/OMS-Agent-for-Linux/master/installer/conf/
         omsagent.d/security_events.conf
     

3. Konfigurera Syslog-daemon:

   • Öppnar port 514 för TCP-kommunikation med hjälp av syslog-konfigurationsfilen /etc/syslog-ng/syslog-ng.conf.

   • Konfigurerar daemon för att vidarebefordra CEF-meddelanden till Log Analytics-agenten på TCP-port 25226 genom att infoga en särskild konfigurationsfil security-config-omsagent.conf i syslog daemon-katalogen /etc/syslog-ng/conf.d/.

     Innehållet i security-config-omsagent.conf filen:

     filter f_oms_filter {match("CEF\|ASA" ) ;};destination oms_destination {tcp("127.0.0.1" port(25226));};
     log {source(s_src);filter(f_oms_filter);destination(oms_destination);};
     

4. Starta om Syslog-daemonen och Log Analytics-agenten:

   • Startar om syslog-ng-daemon.

     service syslog-ng restart
     

   • Startar om Log Analytics-agenten.

     /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

5. Verifierar mappningen av fältet Dator som förväntat:

   • Ser till att fältet Dator i syslog-källan är korrekt mappat i Log Analytics-agenten med hjälp av följande kommando:

     grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb
     

   • Om det finns ett problem med mappningen skapar skriptet ett felmeddelande som instruerar dig att manuellt köra följande kommando (tillämpa arbetsyte-ID:t i stället för platshållaren). Kommandot säkerställer rätt mappning och startar om agenten.

     sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]
     

Nästa steg

I det här dokumentet har du lärt dig hur du distribuerar Log Analytics-agenten för att ansluta CEF-enheter till Microsoft Sentinel. Mer information om Microsoft Sentinel finns i följande artiklar:

• Läs mer om CEF- och CommonSecurityLog-fältmappning.
• Lär dig hur du får insyn i dina data och potentiella hot.
• Kom igång med att identifiera hot med Microsoft Sentinel.