[Inaktuell] Hämta CEF-formaterade loggar från din enhet eller installation till Microsoft Sentinel

Viktigt!

Logginsamling från många enheter och enheter stöds nu av Common Event Format (CEF) via AMA, Syslog via AMA eller anpassade loggar via AMA-dataanslutningen i Microsoft Sentinel. Mer information finns i Hitta din Microsoft Sentinel-dataanslutningsapp.

Många nätverk och säkerhetsenheter och -enheter skickar sina systemloggar via Syslog-protokollet i ett specialiserat format som kallas Common Event Format (CEF). Det här formatet innehåller mer information än standardformatet Syslog och visar informationen i ett parsat nyckelvärdesarrangemang. Log Analytics-agenten accepterar CEF-loggar och formaterar dem särskilt för användning med Microsoft Sentinel innan de vidarebefordras till din Microsoft Sentinel-arbetsyta.

Lär dig hur du samlar in Syslog med AMA, inklusive hur du konfigurerar Syslog och skapar en DCR.

Viktigt!

Kommande ändringar:

• Den 28 februari 2023 introducerade vi ändringar i CommonSecurityLog-tabellschemat.
  • Efter den här ändringen kan du behöva granska och uppdatera anpassade frågor. Mer information finns i avsnittet rekommenderade åtgärder i det här blogginlägget. Det färdiga innehållet (identifieringar, jaktfrågor, arbetsböcker, parsare osv.) har uppdaterats av Microsoft Sentinel.
  • Data som har strömmats och matats in innan ändringen kommer fortfarande att vara tillgängliga i dess tidigare kolumner och format. Gamla kolumner kommer därför att finnas kvar i schemat.
• Den 31 augusti 2024 dras Log Analytics-agenten tillbaka. Om du använder Log Analytics-agenten i din Microsoft Sentinel-distribution rekommenderar vi att du börjar planera migreringen till AMA. Granska alternativen för strömmande loggar i CEF- och Syslog-format till Microsoft Sentinel.

Den här artikeln beskriver processen med att använda CEF-formaterade loggar för att ansluta dina datakällor. Information om dataanslutningar som använder den här metoden finns i Referens för Microsoft Sentinel-dataanslutningsappar.

Det finns två huvudsakliga steg för att upprätta den här anslutningen, som beskrivs nedan i detalj:

• Ange en Linux-dator eller virtuell dator som en dedikerad loggvidare, installera Log Analytics-agenten på den och konfigurera agenten för att vidarebefordra loggarna till din Microsoft Sentinel-arbetsyta. Installationen och konfigurationen av agenten hanteras av ett distributionsskript.

• Konfigurera enheten så att den skickar loggarna i CEF-format till en Syslog-server.

Kommentar

Data lagras på den geografiska platsen för arbetsytan där du kör Microsoft Sentinel.

Arkitekturer som stöds

I följande diagram beskrivs konfigurationen för en virtuell Linux-dator i Azure:

Du kan också använda följande konfiguration om du använder en virtuell dator i ett annat moln eller en lokal dator:

Förutsättningar

En Microsoft Sentinel-arbetsyta krävs för att mata in CEF-data i Log Analytics.

• Du måste ha läs- och skrivbehörigheter på den här arbetsytan.

• Du måste ha läsbehörighet till de delade nycklarna för arbetsytan. Läs mer om arbetsytenycklar.

Utse en loggvidare och installera Log Analytics-agenten

I det här avsnittet beskrivs hur du anger och konfigurerar den Linux-dator som vidarebefordrar loggarna från enheten till din Microsoft Sentinel-arbetsyta.

Din Linux-dator kan vara en fysisk eller virtuell dator i din lokala miljö, en virtuell Azure-dator eller en virtuell dator i ett annat moln.

Använd länken på sidan common event format (CEF) dataanslutning för att köra ett skript på den avsedda datorn och utföra följande uppgifter:

• Installerar Log Analytics-agenten för Linux (kallas även OMS-agenten) och konfigurerar den i följande syfte:

  • lyssna efter CEF-meddelanden från den inbyggda Linux Syslog-daemonen på TCP-port 25226
  • skicka meddelandena säkert via TLS till din Microsoft Sentinel-arbetsyta, där de parsas och berikas

• Konfigurerar den inbyggda Linux Syslog-daemonen (rsyslog.d/syslog-ng) i följande syfte:

  • lyssna efter Syslog-meddelanden från dina säkerhetslösningar på TCP-port 514
  • vidarebefordra endast de meddelanden som identifieras som CEF till Log Analytics-agenten på localhost med TCP-port 25226

Mer information finns i Distribuera en loggvidare för att mata in Syslog- och CEF-loggar till Microsoft Sentinel.

Säkerhetsfrågor

Se till att konfigurera datorns säkerhet enligt organisationens säkerhetsprincip. Du kan till exempel konfigurera nätverket så att det överensstämmer med företagets nätverkssäkerhetsprincip och ändra portarna och protokollen i daemonen så att de överensstämmer med dina krav.

Mer information finns i Säker virtuell dator i Azure och Metodtips för nätverkssäkerhet.

Om dina enheter skickar Syslog- och CEF-loggar via TLS, till exempel när loggvidare finns i molnet, måste du konfigurera Syslog-daemon (rsyslog eller syslog-ng) för att kommunicera i TLS.

Mer information finns i:

• Kryptera Syslog-trafik med TLS – rsyslog
• Kryptera loggmeddelanden med TLS – syslog-ng

Konfigurera din enhet

Leta upp och följ enhetsleverantörens konfigurationsinstruktioner för att skicka loggar i CEF-format till en SIEM- eller loggserver.

Om produkten visas i galleriet för dataanslutningsappar kan du läsa referensen för Microsoft Sentinel-dataanslutningar för att få hjälp, där konfigurationsinstruktionerna ska innehålla inställningarna i listan nedan.

• Protokoll = TCP
• Port = 514
• Format = CEF
• IP-adress – se till att skicka CEF-meddelanden till IP-adressen för den virtuella dator som du dedikerade för detta ändamål.

Den här lösningen stöder Syslog RFC 3164 eller RFC 5424.

Dricks

Definiera ett annat protokoll eller portnummer på enheten efter behov, så länge du också gör samma ändringar i Syslog-daemonen på loggvidare.

Hitta dina data

Det kan ta upp till 20 minuter efter att anslutningen har upprättats för att data ska visas i Log Analytics.

Om du vill söka efter CEF-händelser i Log Analytics frågar du CommonSecurityLog tabellen i frågefönstret.

Vissa produkter som anges i galleriet för dataanslutningsprogram kräver att ytterligare parsare används för bästa resultat. Dessa parsers implementeras med hjälp av Kusto-funktioner. Mer information finns i avsnittet för din produkt på referenssidan för Microsoft Sentinel-dataanslutningsappar.

Om du vill hitta CEF-händelser för dessa produkter anger du namnet på kusto-funktionen som frågeämne i stället för "CommonSecurityLog".

Du hittar användbara exempelfrågor, arbetsböcker och analysregelmallar som skapats särskilt för din produkt på fliken Nästa steg på sidan för dataanslutningsappen i Microsoft Sentinel-portalen.

Om du inte ser några data kan du läsa felsökningssidan för CEF för vägledning.

Ändra källan för fältet TimeGenerated

Som standard fyller Log Analytics-agenten fältet TimeGenerated i schemat med den tid då agenten tog emot händelsen från Syslog-daemonen. Därför registreras inte den tidpunkt då händelsen genererades i källsystemet i Microsoft Sentinel.

Du kan dock köra följande kommando, som laddar ned och kör skriptet TimeGenerated.py . Det här skriptet konfigurerar Log Analytics-agenten för att fylla i fältet TimeGenerated med händelsens ursprungliga tid i källsystemet, i stället för den tid då den togs emot av agenten.

wget -O TimeGenerated.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/TimeGenerated.py && python TimeGenerated.py {ws_id}

Nästa steg

I det här dokumentet har du lärt dig hur Microsoft Sentinel samlar in CEF-loggar från enheter och apparater. Mer information om hur du ansluter din produkt till Microsoft Sentinel finns i följande artiklar:

• Distribuera en Syslog/CEF-vidarebefordrare
• Referens för Microsoft Sentinel-dataanslutningsappar
• Felsöka anslutning till loggvidare

Mer information om vad du ska göra med de data som du har samlat in i Microsoft Sentinel finns i följande artiklar:

• Läs mer om CEF- och CommonSecurityLog-fältmappning.
• Lär dig hur du får insyn i dina data och potentiella hot.
• Kom igång identifiera hot med Microsoft Sentinel.