Připojení externího řešení pomocí konektoru Common Event Format

  • 5 min

Potřebujete určit a nakonfigurovat počítač s Linuxem tak, aby předával protokoly z vašeho řešení zabezpečení do pracovního prostoru Služby Microsoft Sentinel. Tento počítač může být fyzický nebo virtuální ve vašem místním prostředí, virtuálním počítači Azure nebo virtuálním počítači v jiném cloudu. Pomocí zadaného odkazu spustíte skript na určeném počítači, který provádí následující úlohy:

Nainstaluje agenta Log Analytics pro Linux (označovaný také jako agent OMS) a nakonfiguruje ho pro následující účely:

  • Naslouchání zpráv CEF z integrovaného démona Syslogu Linuxu na portu TCP 25226

  • Bezpečné odesílání zpráv přes protokol TLS do pracovního prostoru Služby Microsoft Sentinel, kde se analyzují a vylepšují

Konfiguruje integrovaný proces démon Syslog linuxu (rsyslog.d/syslog-ng) pro následující účely:

  • Naslouchání zpráv syslogu z vašich řešení zabezpečení na portu TCP 514

  • Předávání pouze zpráv, které identifikuje jako CEF agentu Log Analytics na místním hostiteli pomocí portu TCP 25226

Spuštění zaváděcího skriptu

Zobrazení stránky konektoru:

  1. Vyberte stránku Datové konektory.

  2. Vyberte formát CEF (Common Event Format).

  3. v podokně náhledu vyberte stránku Otevřít konektor.

  4. Ověřte, že máte odpovídající oprávnění, jak je popsáno v části Požadavky.

  5. Zkopírujte "sudo wget..." a spusťte se zvýšenými oprávněními na vyhrazeném virtuálním počítači s Linuxem.

Screenshot of the C E F Connector Page.

Použití stejného počítače k přeposílání prostých zpráv syslogu i běžných zpráv formátu událostí

Pokud chcete použít tento počítač pro předávání protokolů k předávání zpráv Syslog jako CEF, pak se chcete vyhnout duplikaci událostí do tabulek Syslog a CommonSecurityLog:

Na každém zdrojovém počítači, který odesílá protokoly do služby předávání ve formátu CEF, musíte upravit konfigurační soubor Syslog a odebrat tak zařízení použitá k odesílání zpráv CEF.