Sdílet prostřednictvím

[Zastaralé] Získání protokolů ve formátu CEF ze zařízení nebo zařízení do Microsoft Sentinelu

  • Článek

Důležité

Shromažďování protokolů z mnoha zařízení a zařízení teď podporuje common event Format (CEF) prostřednictvím AMA, Syslogu přes AMA nebo vlastní protokoly prostřednictvím datového konektoru AMA v Microsoft Sentinelu. Další informace najdete v tématu Vyhledání datového konektoru služby Microsoft Sentinel.

Mnoho síťových a bezpečnostních zařízení a zařízení odesílá protokoly systému přes protokol Syslog ve specializovaném formátu známém jako CEF (Common Event Format). Tento formát obsahuje více informací než standardní formát Syslogu a zobrazuje informace v parsovaném uspořádání klíč-hodnota. Agent Log Analytics přijímá protokoly CEF a formátuje je zejména pro použití se službou Microsoft Sentinel před jejich předáním do pracovního prostoru Služby Microsoft Sentinel.

Zjistěte, jak shromažďovat Syslog s AMA, včetně postupu konfigurace Syslogu a vytvoření DCR.

Důležité

Nadcházející změny:

  • 28. února 2023 jsme zavedli změny schématu tabulky CommonSecurityLog.
    • Po provedení této změny možná budete muset zkontrolovat a aktualizovat vlastní dotazy. Další podrobnosti najdete v části Doporučené akce v tomto blogovém příspěvku. Služba Microsoft Sentinel aktualizovala předefinovaný obsah (detekce, dotazy proaktivního vyhledávání, sešity, analyzátory atd.).
    • Data, která byla streamována a ingestována před změnou, budou stále k dispozici ve svých dřívějších sloupcích a formátech. Staré sloupce proto zůstanou ve schématu.
  • 31. srpna 2024 bude agent Log Analytics vyřazený. Pokud ve svém nasazení Microsoft Sentinelu používáte agenta Log Analytics, doporučujeme začít plánovat migraci do AMA. Projděte si možnosti streamování protokolů ve formátu CEF a Syslog do Služby Microsoft Sentinel.

Tento článek popisuje proces použití protokolů ve formátu CEF pro připojení zdrojů dat. Informace o datových konektorech, které používají tuto metodu, najdete v referenčních informacích k datovým konektorům Microsoft Sentinelu.

Při vytváření tohoto připojení existují dva hlavní kroky, které jsou podrobně vysvětleny níže:

  • Návrh počítače nebo virtuálního počítače s Linuxem jako vyhrazeného nástroje pro předávání protokolů, instalace agenta Log Analytics na něj a konfigurace agenta pro předávání protokolů do pracovního prostoru Microsoft Sentinelu. Instalace a konfigurace agenta se zpracovává skriptem nasazení.

  • Konfigurace zařízení tak, aby odesílala protokoly ve formátu CEF na server Syslog.

Poznámka:

Data se ukládají v geografickém umístění pracovního prostoru, na kterém používáte Microsoft Sentinel.

Podporované architektury

Následující diagram popisuje nastavení v případě virtuálního počítače s Linuxem v Azure:

CEF v Azure

Případně použijete následující nastavení, pokud používáte virtuální počítač v jiném cloudu nebo na místním počítači:

Místní CEF

Požadavky

K ingestování dat CEF do Log Analytics se vyžaduje pracovní prostor Služby Microsoft Sentinel.

  • Pro tento pracovní prostor musíte mít oprávnění ke čtení a zápisu.

  • Ke sdíleným klíčům pracovního prostoru musíte mít oprávnění ke čtení. Přečtěte si další informace o klíčích pracovního prostoru.

Určení nástroje pro předávání protokolů a instalace agenta Log Analytics

Tato část popisuje, jak určit a nakonfigurovat počítač s Linuxem, který bude předávat protokoly z vašeho zařízení do pracovního prostoru Služby Microsoft Sentinel.

Virtuální počítač s Linuxem může být fyzický nebo virtuální počítač ve vašem místním prostředí, virtuálním počítači Azure nebo virtuálním počítači v jiném cloudu.

Pomocí odkazu na stránce datového konektoru CEF (Common Event Format) spusťte skript na určeném počítači a proveďte následující úlohy:

  • Nainstaluje agenta Log Analytics pro Linux (označovaný také jako agent OMS) a nakonfiguruje ho pro následující účely:

    • naslouchání zpráv CEF z integrovaného démona Syslog linuxu na portu TCP 25226
    • bezpečné odesílání zpráv přes protokol TLS do pracovního prostoru Služby Microsoft Sentinel, kde se analyzují a obohacují

  • Konfiguruje integrovaný proces démon Syslog linuxu (rsyslog.d/syslog-ng) pro následující účely:

    • naslouchání zpráv syslogu z vašich řešení zabezpečení na portu TCP 514
    • předávání pouze zpráv, které identifikuje jako CEF agentu Log Analytics na místním hostiteli pomocí portu TCP 25226

Další informace najdete v tématu Nasazení služby předávání protokolů do ingestování protokolů Syslog a CEF do služby Microsoft Sentinel.

Bezpečnostní aspekty

Nezapomeňte nakonfigurovat zabezpečení počítače podle zásad zabezpečení vaší organizace. Můžete například nakonfigurovat síť tak, aby odpovídala zásadám zabezpečení podnikové sítě, a změnit porty a protokoly v procesu démon tak, aby odpovídaly vašim požadavkům.

Další informace najdete v tématu Zabezpečení virtuálního počítače v Azure a osvědčené postupy pro zabezpečení sítě.

Pokud vaše zařízení odesílají protokoly Syslog a CEF přes protokol TLS, například když je váš nástroj pro předávání protokolů v cloudu, budete muset nakonfigurovat démon syslogu (rsyslog nebo syslog-ng), aby komunikovali v protokolu TLS.

Další informace naleznete v tématu:

Konfigurace zařízení

Vyhledejte a postupujte podle pokynů dodavatele konfigurace vašeho zařízení pro odesílání protokolů ve formátu CEF na SIEM nebo server protokolů.

Pokud se váš produkt zobrazí v galerii datových konektorů, můžete se obrátit na referenční informace k datovým konektorům Microsoft Sentinelu, kde by pokyny ke konfiguraci měly obsahovat nastavení v následujícím seznamu.

  • Protokol = TCP
  • Port = 514
  • Formát = CEF
  • IP adresa – nezapomeňte odesílat zprávy CEF na IP adresu virtuálního počítače, který jste pro tento účel vyhrazeni.

Toto řešení podporuje Syslog RFC 3164 nebo RFC 5424.

Tip

Podle potřeby definujte v zařízení jiný protokol nebo číslo portu, pokud v nástroji pro předávání protokolů provedete stejné změny také v procesu démona Syslog.

Vyhledání dat

Zobrazení dat v Log Analytics může trvat až 20 minut.

Pokud chcete vyhledat události CEF v Log Analytics, zadejte dotaz na CommonSecurityLog tabulku v okně dotazu.

Některé produkty uvedené v galerii datových konektorů vyžadují pro zajištění nejlepších výsledků použití dalších analyzátorů. Tyto analyzátory se implementují pomocí funkcí Kusto. Další informace najdete v části produktu na referenční stránce datových konektorů Microsoft Sentinelu.

Pokud chcete najít události CEF pro tyto produkty, zadejte název funkce Kusto jako předmět dotazu místo "CommonSecurityLog".

Užitečné ukázkové dotazy, sešity a šablony analytických pravidel vytvořené speciálně pro váš produkt najdete na kartě Další kroky na stránce datového konektoru vašeho produktu na portálu Microsoft Sentinel.

Pokud se vám nezobrazují žádná data, pokyny najdete na stránce pro řešení potíží s CEF.

Změna zdroje pole TimeGenerated

Ve výchozím nastavení agent Log Analytics naplní pole TimeGenerated ve schématu časem, kdy agent přijal událost z démona Syslog. V důsledku toho se ve službě Microsoft Sentinel nezaznamená čas vygenerování události ve zdrojovém systému.

Můžete však spustit následující příkaz, který stáhne a spustí TimeGenerated.py skript. Tento skript nakonfiguruje agenta Log Analytics tak, aby naplnil pole TimeGenerated původním časem události ve zdrojovém systému místo času, kdy ho agent přijal.

wget -O TimeGenerated.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/TimeGenerated.py && python TimeGenerated.py {ws_id}

Další kroky

V tomto dokumentu jste zjistili, jak Microsoft Sentinel shromažďuje protokoly CEF ze zařízení a zařízení. Další informace o připojení produktu k Microsoft Sentinelu najdete v následujících článcích:

Další informace o tom, co dělat s daty shromážděnými v Microsoft Sentinelu, najdete v následujících článcích: