[Przestarzałe] Pobieranie dzienników sformatowanych w formacie CEF z urządzenia lub urządzenia do usługi Microsoft Sentinel

Ważne

Zbieranie dzienników z wielu urządzeń i urządzeń jest teraz obsługiwane przez format Common Event Format (CEF) za pośrednictwem amA, dziennika systemowego za pośrednictwem usługi AMA lub dzienników niestandardowych za pośrednictwem łącznika danych AMA w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Znajdowanie łącznika danych usługi Microsoft Sentinel.

Wiele urządzeń i urządzeń sieciowych i zabezpieczeń wysyła dzienniki systemowe za pośrednictwem protokołu Syslog w wyspecjalizowanym formacie znanym jako Common Event Format (CEF). Ten format zawiera więcej informacji niż standardowy format dziennika systemowego i przedstawia informacje w przeanalizowanym układzie klucz-wartość. Agent usługi Log Analytics akceptuje dzienniki CEF i formatuje je szczególnie do użycia z usługą Microsoft Sentinel przed przekazaniem ich do obszaru roboczego usługi Microsoft Sentinel.

Dowiedz się, jak zbierać dziennik syslog za pomocą usługi AMA, w tym jak skonfigurować dziennik syslog i utworzyć kontroler domeny.

Ważne

Nadchodzące zmiany:

• 28 lutego 2023 r. wprowadziliśmy zmiany w schemacie tabeli CommonSecurityLog.
  • Po tej zmianie może być konieczne przejrzenie i zaktualizowanie zapytań niestandardowych. Aby uzyskać więcej informacji, zobacz sekcję zalecanych akcji w tym wpisie w blogu. Zawartość out-of-the-box (wykrycia, zapytania wyszukiwania zagrożeń, skoroszyty, analizatory itp.) została zaktualizowana przez usługę Microsoft Sentinel.
  • Dane przesyłane strumieniowo i pozyskiwane przed zmianą będą nadal dostępne w poprzednich kolumnach i formatach. Stare kolumny pozostaną zatem w schemacie.
• 31 sierpnia 2024 r. agent usługi Log Analytics zostanie wycofany. Jeśli używasz agenta usługi Log Analytics we wdrożeniu usługi Microsoft Sentinel, zalecamy rozpoczęcie planowania migracji do usługi AMA. Przejrzyj opcje dzienników przesyłania strumieniowego w formacie CEF i Dziennika systemowego w usłudze Microsoft Sentinel.

W tym artykule opisano proces łączenia źródeł danych przy użyciu dzienników sformatowanych w formacie CEF. Aby uzyskać informacje na temat łączników danych korzystających z tej metody, zobacz Dokumentacja łączników danych usługi Microsoft Sentinel.

Istnieją dwa główne kroki tworzenia tego połączenia, które zostaną szczegółowo wyjaśnione poniżej:

• Zaprojektowanie maszyny lub maszyny wirtualnej z systemem Linux jako dedykowanego modułu przesyłania dalej dziennika, zainstalowanie na nim agenta usługi Log Analytics i skonfigurowanie agenta w celu przekazywania dzienników do obszaru roboczego usługi Microsoft Sentinel. Instalacja i konfiguracja agenta są obsługiwane przez skrypt wdrożenia.

• Konfigurowanie urządzenia w celu wysyłania dzienników w formacie CEF do serwera Syslog.

Uwaga

Dane są przechowywane w lokalizacji geograficznej obszaru roboczego, w którym jest uruchomiona usługa Microsoft Sentinel.

Obsługiwane architektury

Na poniższym diagramie opisano konfigurację maszyny wirtualnej z systemem Linux na platformie Azure:

Alternatywnie użyjesz następującej konfiguracji, jeśli używasz maszyny wirtualnej w innej chmurze lub maszyny lokalnej:

Wymagania wstępne

Aby pozyskiwać dane CEF do usługi Log Analytics, wymagany jest obszar roboczy usługi Microsoft Sentinel.

• Musisz mieć uprawnienia do odczytu i zapisu w tym obszarze roboczym.

• Musisz mieć uprawnienia do odczytu do kluczy udostępnionych dla obszaru roboczego. Dowiedz się więcej o kluczach obszaru roboczego.

Wyznaczanie usługi przesyłania dalej dzienników i instalowanie agenta usługi Log Analytics

W tej sekcji opisano sposób wyznaczania i konfigurowania maszyny z systemem Linux, która będzie przekazywać dzienniki z urządzenia do obszaru roboczego usługi Microsoft Sentinel.

Maszyna z systemem Linux może być maszyną fizyczną lub wirtualną w środowisku lokalnym, maszyną wirtualną platformy Azure lub maszyną wirtualną w innej chmurze.

Użyj linku podanego na stronie łącznika danych Common Event Format (CEF), aby uruchomić skrypt na wyznaczonym komputerze i wykonać następujące zadania:

• Instaluje agenta usługi Log Analytics dla systemu Linux (znanego również jako agent pakietu OMS) i konfiguruje go w następujących celach:

  • nasłuchiwanie komunikatów CEF z wbudowanego demona dziennika systemu Linux na porcie TCP 25226
  • bezpieczne wysyłanie komunikatów za pośrednictwem protokołu TLS do obszaru roboczego usługi Microsoft Sentinel, gdzie są analizowane i wzbogacone

• Konfiguruje wbudowane demona dziennika systemowego systemu Linux (rsyslog.d/syslog-ng) w następujących celach:

  • nasłuchiwanie komunikatów dziennika systemowego z rozwiązań zabezpieczeń na porcie TCP 514
  • przekazywanie tylko komunikatów, które identyfikuje jako cef do agenta usługi Log Analytics na hoście lokalnym przy użyciu portu TCP 25226

Aby uzyskać więcej informacji, zobacz Deploy a log forwarder to ingest Syslog and CEF logs to Microsoft Sentinel (Wdrażanie usługi przesyłania dalej dzienników w celu pozyskiwania dzienników syslogu i dzienników CEF w usłudze Microsoft Sentinel).

Zagadnienia dotyczące zabezpieczeń

Pamiętaj, aby skonfigurować zabezpieczenia maszyny zgodnie z zasadami zabezpieczeń organizacji. Możesz na przykład skonfigurować sieć tak, aby dostosować je do zasad zabezpieczeń sieci firmowej i zmienić porty i protokoły w demonie, aby dopasować je do wymagań.

Aby uzyskać więcej informacji, zobacz Zabezpieczanie maszyny wirtualnej na platformie Azure i Najlepsze rozwiązania dotyczące zabezpieczeń sieci.

Jeśli urządzenia wysyłają dzienniki syslog i CEF za pośrednictwem protokołu TLS, na przykład gdy usługa przesyłania dalej dzienników znajduje się w chmurze, musisz skonfigurować demona dziennika systemowego (rsyslog lub syslog-ng) w celu komunikowania się w protokole TLS.

Aby uzyskać więcej informacji, zobacz:

• Szyfrowanie ruchu dziennika systemowego przy użyciu protokołu TLS — rsyslog
• Szyfrowanie komunikatów dziennika przy użyciu protokołu TLS — syslog-ng

Konfigurowanie urządzenia

Znajdź i postępuj zgodnie z instrukcjami konfiguracji dostawcy urządzenia dotyczącymi wysyłania dzienników w formacie CEF do rozwiązania SIEM lub serwera dzienników.

Jeśli produkt pojawi się w galerii łączników danych, możesz zapoznać się z dokumentacją łączników danych usługi Microsoft Sentinel, aby uzyskać pomoc, gdzie instrukcje konfiguracji powinny zawierać ustawienia na poniższej liście.

• Protokół = TCP
• Port = 514
• Format = CEF
• Adres IP — upewnij się, że komunikaty CEF są wysyłane do adresu IP maszyny wirtualnej dedykowanej w tym celu.

To rozwiązanie obsługuje protokół Syslog RFC 3164 lub RFC 5424.

Napiwek

Zdefiniuj inny protokół lub numer portu na urządzeniu zgodnie z potrzebami, o ile wprowadzasz te same zmiany w demonie dziennika systemowego w usłudze przesyłania dalej dzienników.

Znajdowanie danych

Wyświetlenie danych w usłudze Log Analytics może potrwać do 20 minut.

Aby wyszukać zdarzenia CEF w usłudze Log Analytics, wykonaj zapytanie dotyczące CommonSecurityLog tabeli w oknie zapytania.

Niektóre produkty wymienione w galerii łączników danych wymagają użycia dodatkowych analizatorów w celu uzyskania najlepszych wyników. Te analizatory są implementowane za pomocą funkcji Kusto. Aby uzyskać więcej informacji, zobacz sekcję dotyczącą produktu na stronie referencyjnej łączników danych usługi Microsoft Sentinel.

Aby znaleźć zdarzenia CEF dla tych produktów, wprowadź nazwę funkcji Kusto jako temat zapytania zamiast "CommonSecurityLog".

Przydatne przykładowe zapytania, skoroszyty i szablony reguł analizy utworzone specjalnie dla produktu można znaleźć na karcie Następne kroki na stronie łącznika danych produktu w portalu usługi Microsoft Sentinel.

Jeśli nie widzisz żadnych danych, zobacz stronę rozwiązywania problemów z formatem CEF, aby uzyskać wskazówki.

Zmienianie źródła pola TimeGenerated

Domyślnie agent usługi Log Analytics wypełnia pole TimeGenerated w schemacie wraz z czasem odebrania zdarzenia przez agenta z demona dziennika systemowego. W związku z tym czas wygenerowania zdarzenia w systemie źródłowym nie jest rejestrowany w usłudze Microsoft Sentinel.

Można jednak uruchomić następujące polecenie, które spowoduje pobranie i uruchomienie skryptu TimeGenerated.py . Ten skrypt umożliwia skonfigurowanie agenta usługi Log Analytics w celu wypełnienia pola TimeGenerated oryginalnym czasem zdarzenia w systemie źródłowym zamiast czasu odebrania go przez agenta.

wget -O TimeGenerated.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/TimeGenerated.py && python TimeGenerated.py {ws_id}

Następne kroki

W tym dokumencie przedstawiono sposób, w jaki usługa Microsoft Sentinel zbiera dzienniki CEF z urządzeń i urządzeń. Aby dowiedzieć się więcej na temat łączenia produktu z usługą Microsoft Sentinel, zobacz następujące artykuły:

• Wdrażanie usługi przesyłania dalej Syslog/CEF
• Dokumentacja łączników danych usługi Microsoft Sentinel
• Rozwiązywanie problemów z łącznością usługi przesyłania dalej dzienników

Aby dowiedzieć się więcej o tym, co zrobić z danymi zebranymi w usłudze Microsoft Sentinel, zobacz następujące artykuły:

• Dowiedz się więcej o mapowaniu pól CEF i CommonSecurityLog.
• Dowiedz się, jak uzyskać wgląd w dane i potencjalne zagrożenia.
• Rozpocznij wykrywanie zagrożeń za pomocą usługi Microsoft Sentinel.