Cihazınızdan veya gerecinizden MICROSOFT Sentinel'e CEF biçimli günlükleri alma

Not

US Government bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. US Government müşterileri için Buluttaki Microsoft Sentinel tabloları özellik kullanılabilirliği.

Birçok ağ ve güvenlik cihazı ve aleti sistem günlüklerini Syslog protokolü üzerinden Ortak Olay Biçimi (CEF) olarak bilinen özelleştirilmiş bir biçimde gönderir. Bu biçim standart Syslog biçiminden daha fazla bilgi içerir ve bilgileri ayrıştırılmış anahtar-değer düzenlemesinde sunar. Log Analytics Aracısı CEF günlüklerini kabul eder ve microsoft Sentinel çalışma alanınıza iletmeden önce özellikle Microsoft Sentinel ile kullanmak üzere biçimlendirmektedir.

Syslog'u yapılandırma ve DCR oluşturma dahil olmak üzere AMA ile Syslog toplamayı öğrenin.

Önemli

Yaklaşan değişiklikler:

• 28 Şubat 2023'te CommonSecurityLog tablo şemasında değişiklikler yaptık.
  • Bu değişikliğin ardından özel sorguları gözden geçirmeniz ve güncelleştirmeniz gerekebilir. Diğer ayrıntılar için bu blog gönderisindeki önerilen eylemler bölümüne bakın. Kullanıma açık içerik (algılamalar, tehdit avcılığı sorguları, çalışma kitapları, ayrıştırıcılar vb.) Microsoft Sentinel tarafından güncelleştirildi.
  • Değişiklik öncesinde akışı yapılan ve alınan veriler eski sütunlarında ve biçimlerinde kullanılabilir olmaya devam eder. Bu nedenle eski sütunlar şemada kalır.
• 31 Ağustos 2024'teLog Analytics aracısı kullanımdan kaldırılacaktır. Microsoft Sentinel dağıtımınızda Log Analytics aracısını kullanıyorsanız AMA'ya geçişinizi planlamaya başlamanızı öneririz. CEF ve Syslog biçimindeki günlükleri Microsoft Sentinel'e akışla aktarma seçeneklerini gözden geçirin.

Bu makalede, veri kaynaklarınızı bağlamak için CEF biçimli günlükleri kullanma işlemi açıklanmaktadır. Bu yöntemi kullanan veri bağlayıcıları hakkında bilgi için bkz. Microsoft Sentinel veri bağlayıcıları başvurusu.

Bu bağlantıyı yapmanın iki ana adımı vardır ve bunlar aşağıda ayrıntılı olarak açıklanacaktır:

• Linux makinesini veya VM'yi ayrılmış bir günlük ileticisi olarak belirleme, Log Analytics aracısını üzerine yükleme ve aracıyı günlükleri Microsoft Sentinel çalışma alanınıza iletecek şekilde yapılandırma. Aracının yüklenmesi ve yapılandırması bir dağıtım betiği tarafından işlenir.

• Cihazınızı günlüklerini CEF biçiminde bir Syslog sunucusuna gönderecek şekilde yapılandırma.

Not

Veriler, Microsoft Sentinel'i çalıştırdığınız çalışma alanının coğrafi konumunda depolanır.

Desteklenen mimariler

Aşağıdaki diyagramda, Azure'da Bir Linux VM'sinin kurulumu açıklanmaktadır:

Alternatif olarak, başka bir bulutta veya şirket içi makinede vm kullanıyorsanız aşağıdaki kurulumu kullanırsınız:

Önkoşullar

CEF verilerini Log Analytics'e almak için bir Microsoft Sentinel çalışma alanı gereklidir.

• Bu çalışma alanında okuma ve yazma izinleriniz olmalıdır.

• Çalışma alanı için paylaşılan anahtarlar için okuma izinlerine sahip olmanız gerekir. Çalışma alanı anahtarları hakkında daha fazla bilgi edinin.

Günlük ileticisi belirleme ve Log Analytics aracısını yükleme

Bu bölümde, cihazınızdaki günlükleri Microsoft Sentinel çalışma alanınıza iletecek Linux makinesinin nasıl atanacağı ve yapılandırılacağı açıklanmaktadır.

Linux makineniz şirket içi ortamınızda fiziksel veya sanal makine, Azure VM veya başka bir buluttaki bir VM olabilir.

Belirtilen makinede bir betik çalıştırmak ve aşağıdaki görevleri gerçekleştirmek için Ortak Olay Biçimi (CEF) veri bağlayıcısı sayfasında sağlanan bağlantıyı kullanın:

• Linux için Log Analytics aracısını (OMS aracısı olarak da bilinir) yükler ve aşağıdaki amaçlarla yapılandırılır:

  • 25226 numaralı TCP bağlantı noktasında yerleşik Linux Syslog daemon'dan CEF iletilerini dinleme
  • iletileri TLS üzerinden güvenli bir şekilde Microsoft Sentinel çalışma alanınıza gönderme; burada ayrıştırılır ve zenginleştirilmiştir

• Yerleşik Linux Syslog daemon'ını (rsyslog.d/syslog-ng) aşağıdaki amaçlarla yapılandırılır:

  • 514 numaralı TCP bağlantı noktasında güvenlik çözümlerinizden Syslog iletilerini dinleme
  • yalnızca CEF olarak tanımlamış olduğu iletileri 25226 numaralı TCP bağlantı noktasını kullanarak localhost üzerindeki Log Analytics aracısına iletme

Daha fazla bilgi için bkz . Syslog ve CEF günlüklerini Microsoft Sentinel'e almak için günlük ileticisi dağıtma.

Güvenlik konuları

Makinenin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırdığından emin olun. Örneğin, ağınızı kurumsal ağ güvenlik ilkenizle uyumlu olacak şekilde yapılandırabilir ve daemon'daki bağlantı noktalarını ve protokolleri gereksinimlerinizle uyumlu olacak şekilde değiştirebilirsiniz.

Daha fazla bilgi için bkz . Azure'da VM güvenliğini sağlama ve Ağ güvenliği için en iyi yöntemler.

Cihazlarınız TLS üzerinden Syslog ve CEF günlükleri gönderiyorsa (örneğin günlük ileticiniz bulutta olduğunda), Syslog daemon'ını (rsyslog veya syslog-ng) TLS'de iletişim kuracak şekilde yapılandırmanız gerekir.

Daha fazla bilgi için bkz.

• Syslog trafiğini TLS ile şifreleme – rsyslog
• Günlük iletilerini TLS ile şifreleme – syslog-ng

Cihazınızı yapılandırma

Günlükleri CEF biçiminde SIEM veya günlük sunucusuna göndermek için cihaz satıcınızın yapılandırma yönergelerini bulun ve izleyin.

Ürününüz veri bağlayıcıları galerisinde görünüyorsa, yardım için Microsoft Sentinel veri bağlayıcıları başvurusuna başvurabilirsiniz. Burada yapılandırma yönergeleri aşağıdaki listede yer alan ayarları içermelidir.

• Protokol = TCP
• Bağlantı noktası = 514
• Biçim = CEF
• IP adresi - CEF iletilerini bu amaçla ayırdığınız sanal makinenin IP adresine gönderdiğinizden emin olun.

Bu çözüm Syslog RFC 3164 veya RFC 5424'i destekler.

İpucu

Günlük ileticisindeki Syslog daemon'da da aynı değişiklikleri yaptığınız sürece, cihazınızda gerektiğinde farklı bir protokol veya bağlantı noktası numarası tanımlayın.

Verilerinizi bulma

Verilerin Log Analytics'te görünmesi bağlantı kurulduktan sonra 20 dakika kadar sürebilir.

Log Analytics'te CEF olaylarını aramak için sorgu penceresindeki tabloyu sorgulayın CommonSecurityLog .

Veri bağlayıcıları galerisinde listelenen bazı ürünler, en iyi sonuçlar için ek ayrıştırıcılar kullanılmasını gerektirir. Bu ayrıştırıcılar Kusto işlevlerinin kullanımıyla uygulanır. Daha fazla bilgi için Microsoft Sentinel veri bağlayıcıları başvuru sayfasındaki ürününüzün bölümüne bakın.

Bu ürünlerin CEF olaylarını bulmak için sorgu konunuz olarak "CommonSecurityLog" yerine Kusto işlevinin adını girin.

Özellikle ürününüz için yapılan örnek sorgular, çalışma kitapları ve analiz kuralı şablonlarını Microsoft Sentinel portalındaki ürününüzün veri bağlayıcısı sayfasının Sonraki adımlar sekmesinde bulabilirsiniz.

Herhangi bir veri görmüyorsanız, rehberlik için CEF sorun giderme sayfasına bakın.

TimeGenerated alanının kaynağını değiştirme

Varsayılan olarak, Log Analytics aracısı şemadaki TimeGenerated alanını aracının Syslog daemon'dan olayı aldığı saatle doldurur. Sonuç olarak, olayın kaynak sistemde oluşturulduğu saat Microsoft Sentinel'e kaydedilmez.

Ancak aşağıdaki komutu çalıştırarak betiği indirip çalıştırabilirsiniz TimeGenerated.py . Bu betik Log Analytics aracısını, TimeGenerated alanını aracı tarafından alındığı saat yerine olayın kaynak sistemindeki özgün saatiyle dolduracak şekilde yapılandırmaktadır.

wget -O TimeGenerated.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/TimeGenerated.py && python TimeGenerated.py {ws_id}

Sonraki adımlar

Bu belgede, Microsoft Sentinel'in cihazlardan ve gereçlerden CEF günlüklerini nasıl topladığını öğrendiniz. Ürününüzü Microsoft Sentinel'e bağlama hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

• Syslog/CEF ileticisi dağıtma
• Microsoft Sentinel veri bağlayıcıları başvurusu
• Günlük ileticisi bağlantısı sorunlarını giderme

Microsoft Sentinel'de topladığınız verilerle ne yapmanız gerekenler hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

• CEF ve CommonSecurityLog alan eşlemesi hakkında bilgi edinin.
• Verilerinize ve olası tehditlere görünürlük elde etmeyi öğrenin.
• Microsoft Sentinel ile tehditleri algılamaya başlayın.