Microsoft Sentinel için AMA bağlayıcıları aracılığıyla AMA ve Ortak Olay Biçimi (CEF) aracılığıyla Syslog

Microsoft Sentinel için AMA veri bağlayıcıları aracılığıyla AMA ve Ortak Olay Biçimi (CEF) aracılığıyla Syslog, Linux makinelerinden ve ağ ve güvenlik cihazlarından ve gereçlerden Ortak Olay Biçimi (CEF) dahil olmak üzere Syslog iletilerini filtreler ve alır. Bu bağlayıcılar, Syslog ve/veya CEF iletilerini toplamak istediğiniz herhangi bir Linux makinesine Azure İzleyici Aracısı'nı (AMA) yükler. Bu makine iletilerin kaynağı olabilir veya ağ veya güvenlik cihazları ve gereçler gibi diğer makinelerden ileti toplayan bir iletici olabilir. Bağlayıcı, tanımladığınız Veri Toplama Kuralları'na (DCR) göre aracı yönergelerini gönderir. DCR'ler, izlenecek sistemleri ve toplayacak günlük veya ileti türlerini belirtir ve daha iyi performans ve daha verimli sorgulama ve analiz için, ileti alımından önce iletilere uygulanacak filtreler tanımlar.

Syslog ve CEF, farklı cihazlardan ve uygulamalardan verileri günlüğe kaydetmeye yönelik iki yaygın biçimdir. Sistem yöneticilerinin ve güvenlik analistlerinin ağı izlemesine ve sorunlarını gidermesine ve olası tehditleri veya olayları tanımlamasına yardımcı olur.

Syslog nedir?

Syslog, ağ üzerinden farklı cihazlar veya uygulamalar arasında ileti göndermek ve almak için kullanılan standart bir protokoldür. Başlangıçta Unix sistemleri için geliştirilmiştir, ancak şimdi çeşitli platformlar ve satıcılar tarafından yaygın olarak desteklenmektedir. Syslog iletileri öncelik, zaman damgası, konak adı, uygulama adı, işlem kimliği ve ileti metninden oluşan önceden tanımlanmış bir yapıya sahiptir. Syslog iletileri, yapılandırmaya ve güvenlik gereksinimlerine bağlı olarak UDP, TCP veya TLS üzerinden gönderilebilir.

Azure İzleyici Aracısı Syslog RFC 3164 ve 5424'i destekler.

Ortak Olay Biçimi (CEF) nedir?

CEF veya Ortak Olay Biçimi, güvenlik duvarları, yönlendiriciler, algılama ve yanıt çözümleri ve yetkisiz erişim algılama sistemleri gibi ağ ve güvenlik cihazlarından ve gereçlerinden ve web sunucuları gibi diğer sistem türlerinden gelen verileri günlüğe kaydetmek için satıcıdan bağımsız bir biçimdir. Syslog'un bir uzantısı olan bu uzantı, özellikle güvenlik bilgileri ve olay yönetimi (SIEM) çözümleri için geliştirilmiştir. CEF iletileri, cihaz satıcısı, cihaz ürünü, cihaz sürümü, olay sınıfı, olay önem derecesi ve olay kimliği gibi bilgileri içeren standart bir üst bilgiye sahiptir. CEF iletileri ayrıca kaynak ve hedef IP adresleri, kullanıcı adı, dosya adı veya gerçekleştirilen eylem gibi olay hakkında daha fazla ayrıntı sağlayan çeşitli uzantılara sahiptir.

Microsoft Sentinel, Azure İzleyici Aracısı ile Syslog ve CEF iletilerini nasıl toplar?

Aşağıdaki diyagramlarda, AMA aracılığıyla Syslog ve AMA bağlayıcıları aracılığıyla Ortak Olay Biçimi (CEF) kullanılarak Microsoft Sentinel'de Syslog ve CEF ileti koleksiyonunun mimarisi gösterilmektedir.

Tek makine (syslog)

Bu diyagramda, Azure İzleyici Aracısı'nın (AMA) yüklü olduğu tek bir Linux sanal makinesinden toplanan Syslog iletileri gösterilir.

Azure İzleyici Aracısı'nı kullanan veri alma işlemi aşağıdaki bileşenleri ve veri akışlarını kullanır:

• Günlük kaynakları: Bunlar, ortamınızda Syslog iletileri üreten çeşitli Linux VM'lerinizdir. Bu iletiler TCP veya UDP bağlantı noktası 514 (veya tercihinize göre başka bir bağlantı noktası) üzerinde yerel Syslog daemon tarafından toplanır.

• Yerel Syslog daemon'ı ( rsyslog veya syslog-ng) TCP veya UDP bağlantı noktası 514'te (veya tercihinize göre başka bir bağlantı noktasında) günlük iletilerini toplar. Daemon daha sonra bu günlükleri AMA sürümüne bağlı olarak iki farklı yolla Azure İzleyici Aracısı'na gönderir:

  • AMA sürüm 1.28.11 ve üzeri, TCP bağlantı noktası 28330'da günlükleri alır.
  • AMA'nın önceki sürümleri Unix etki alanı yuvası aracılığıyla günlükleri alır.

  Syslog/CEF iletilerini almak için 514 dışında bir bağlantı noktası kullanmak istiyorsanız, Syslog daemon'unun bağlantı noktası yapılandırmasının iletileri oluşturan uygulamayla eşleştiğinden emin olun.

• Veri bağlayıcısını ayarlayarak Syslog iletilerini toplamak istediğiniz her Linux VM'sine yüklediğiniz Azure İzleyici Aracısı. Aracı günlükleri ayrıştırıp Microsoft Sentinel (Log Analytics) çalışma alanınıza gönderir.

• Microsoft Sentinel (Log Analytics) çalışma alanınız : Buraya gönderilen Syslog iletileri, güvenlik tehditlerini algılamak ve yanıtlamak için günlükleri sorgulayabileceğiniz ve bunlar üzerinde analiz gerçekleştirebileceğiniz Syslog tablosunda yer alır.

Günlük ileticisi (syslog/CEF)

Bu diyagramda, Azure İzleyici Aracısı'nın (AMA) yüklü olduğu Linux tabanlı bir günlük iletme makinesinden toplanan Syslog ve CEF iletileri gösterilir. Bu günlük ileticisi, kaynak makinelerinden, cihazlarından veya gereçlerinden Syslog ve CEF iletilerini toplar.

Azure İzleyici Aracısı'nı kullanan veri alma işlemi aşağıdaki bileşenleri ve veri akışlarını kullanır:

• Günlük kaynakları: Bunlar, ortamınızdaki CEF biçiminde veya düz Syslog'da günlük iletileri üreten çeşitli güvenlik cihazlarınız ve gereçlerinizdir. Bu cihazlar, günlük iletilerini yerel Syslog daemon'larına değil, Günlük ileticisinde Syslog daemon'larına değil TCP veya UDP bağlantı noktası 514 üzerinden (veya tercihinize göre başka bir bağlantı noktası) gönderecek şekilde yapılandırılır.

• Günlük ileticisi: Bu, kuruluşunuzun Syslog ve CEF günlük kaynaklarınızdan günlük iletilerini toplamak için ayarladığı ayrılmış bir Linux VM'dir. VM şirket içinde, Azure'da veya başka bir bulutta olabilir. Bu günlük ileticinin iki bileşeni vardır:

  • Syslog daemon'ı (rsyslogveya syslog-ng) TCP veya UDP bağlantı noktası 514'te (veya tercihinize göre başka bir bağlantı noktasında) günlük iletilerini toplar. Daemon daha sonra bu günlükleri AMA sürümüne bağlı olarak iki farklı yolla Azure İzleyici Aracısı'na gönderir:

    • AMA sürüm 1.28.11 ve üzeri, TCP bağlantı noktası 28330'da günlükleri alır.
    • AMA'nın önceki sürümleri Unix etki alanı yuvası aracılığıyla günlükleri alır.

    Syslog/CEF iletilerini almak için 514 dışında bir bağlantı noktası kullanmak istiyorsanız, Syslog daemon'unun bağlantı noktası yapılandırmasının iletileri oluşturan uygulamayla eşleştiğinden emin olun.

  • Syslog ve/veya CEF veri bağlayıcılarını ayarlayarak günlük ileticisine yüklediğiniz Azure İzleyici Aracısı. Aracı günlükleri ayrıştırıp Microsoft Sentinel (Log Analytics) çalışma alanınıza gönderir.

• Microsoft Sentinel (Log Analytics) çalışma alanınız: Buraya gönderilen CEF günlükleri CommonSecurityLog tablosunda ve Syslog tablosunda syslog iletileriyle sonuçlanmaktadır. Burada, güvenlik tehditlerini algılamak ve yanıtlamak için günlükleri sorgulayabilir ve bunlar üzerinde analiz gerçekleştirebilirsiniz.

Sonraki adımlar

Veri bağlayıcılarını ayarlama