Plánování konektoru Common Event Format

  • 6 min

Konektor CEF nasadí server předávání Syslog, který podporuje komunikaci mezi zařízením a Službou Microsoft Sentinel. Server se skládá z vyhrazeného počítače s Linuxem s nainstalovaným agentem Log Analytics pro Linux. Mnoho datových konektorů Microsoft Sentinelu, které jsou specifické pro dodavatele, využívají konektor CEF.

Následující diagram znázorňuje nastavení virtuálního počítače s Linuxem v Azure. Místní zdroje Syslog bezpečně odesílají události do virtuálního počítače Azure s Linuxem. Virtuální počítač s Linuxem s nainstalovaným agentem Log Analytics pak předá protokoly do pracovního prostoru Služby Microsoft Sentinel.

Diagram architektury konektoru Syslog hostujícího virtuální počítač Azure

Případně následující diagram zobrazí nastavení, pokud používáte virtuální počítač v jiném cloudu nebo místním počítači. Místní zdroje Syslogu bezpečně odesílají události na virtuální počítač s Linuxem. Virtuální počítač s Linuxem s nainstalovaným agentem Log Analytics pak protokoly bezpečně předá do pracovního prostoru Microsoft Sentinelu.

Diagram místní architektury konektoru Syslog

Bezpečnostní aspekty

Nezapomeňte nakonfigurovat zabezpečení počítače podle zásad zabezpečení vaší organizace. Můžete například nakonfigurovat síť tak, aby odpovídala zásadám zabezpečení podnikové sítě, a změnit porty a protokoly démona tak, aby odpovídaly vašim požadavkům.

Pokud chcete používat komunikaci TLS mezi zdrojem Syslog a nástrojem pro předávání Syslog, musíte nakonfigurovat démon Syslog (rsyslog nebo syslog-ng) pro komunikaci v protokolu TLS.

Požadavky

Ujistěte se, že na počítači s Linuxem, který používáte jako nástroj pro předávání protokolů, běží jeden z následujících operačních systémů:

  • 64bitová

    • Amazon Linux 2017.09

    • Oracle Linux 7

    • Red Hat Enterprise Linux (RHEL) Server 7 a 8, včetně podverzí (ne 6)

    • Debian GNU/Linux 8 a 9

    • Ubuntu Linux 14.04 LTS, 16.04 LTS a 18.04 LTS

    • SUSE Linux Enterprise Server 12, 15

  • 32bitová

    • Oracle Linux 7

    • Red Hat Enterprise Linux (RHEL) Server 7 a 8, včetně podverzí (ne 6)

    • Debian GNU/Linux 8 a 9

    • Ubuntu Linux 14.04 LTS a 16.04 LTS

    • Verze démona

    • Syslog-ng: 2.1 - 3.22.1

    • Rsyslog: v8

    • Podporované rfcs syslogu

    • Syslog RFC 3164

    • Syslog RFC 5424

Ujistěte se, že váš počítač splňuje také následující požadavky:

Oprávnění

  • Na počítači musíte mít zvýšená oprávnění (sudo).

Požadavky na software

  • Ujistěte se, že máte na počítači spuštěný Python 2.7 nebo 3.