Ingerir mensagens do syslog e CEF no Microsoft Sentinel com o Agente do Azure Monitor

Crie uma DCR (regra de coleta de dados)

Para começar, abra o conector de dados Syslog via AMA ou CEF (Formato Comum de Evento) via AMA no Microsoft Sentinel e crie uma DCR (regra de coleta de dados).

1. Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Conectores de dados.
   Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configurações>Conectores de dados.

2. Para syslog, digite Syslog na caixa Pesquisar. Nos resultados, selecione o conector do Syslog por meio do AMA.
   Para CEF, digite CEF na caixa Pesquisar. Nos resultados, selecione o CEF (Formato Comum de Evento) por meio do conector do AMA.

3. Selecione Abrir página do conector no painel de detalhes.

4. Na área Configuração, selecione +Criar regra de coleta de dados.

   

   

5. Na guia Básico:

   • Digite um nome para a DCR.
   • Selecione sua assinatura.
   • Selecione o grupo de recursos em que deseja localizar a DCR.

   

6. Selecione Avançar: Recursos>.

Definir recursos de VM

Na guia Recursos, selecione os computadores nos quais você deseja instalar o AMA, nesse caso, seu computador de encaminhador de log. Se o encaminhador de log não aparecer na lista, talvez ele não tenha o agente do Azure Connected Machine instalado.

1. Use os filtros disponíveis ou a caixa de pesquisa para localizar a VM do encaminhador de log. Você pode expandir uma assinatura na lista para ver os grupos de recursos dela, e um grupo de recursos para ver as VMs dela.

2. Selecione a VM do encaminhador de log na qual você deseja instalar o AMA. A caixa de seleção será exibida ao lado do nome da VM quando você passar o mouse sobre ela.

   

3. Examine suas alterações e selecione Avançar: Coletar >.

Selecionar instalações e severidades

Lembre-se de que o uso da mesma instalação para mensagens do syslog e CEF pode resultar em duplicação de ingestão de dados. Para obter mais informações, consulte Como evitar a duplicação de ingestão de dados.

1. Na guia Coletar, selecione o nível mínimo de log para cada instalação. Quando você seleciona um nível de log, o Microsoft Sentinel coleta logs para o nível selecionado e outros níveis com gravidade mais alta. Por exemplo, se você selecionar LOG_ERR, o Microsoft Sentinel coletará logs para os níveis LOG_ERR, LOG_CRIT, LOG_ALERT e LOG_EMERG.

   

2. Examine suas seleções e selecione Avançar: Examinar + criar.

Examinar e criar a regra

Depois de concluir todas as guias, examine o que você inseriu e crie a regra de coleta de dados.

1. Na guia Examinar e criar, selecione Criar.

   

   O conector instalará o agente do Azure Monitor nos computadores selecionados ao criar a DCR.

2. Verifique as notificações no portal do Azure ou no portal do Microsoft Defender para ver quando a DCR é criada e se o agente está instalado.

3. Selecione Atualizar na página do conector para ver a DCR exibida na lista.

Instalar o Agente do Azure Monitor

Siga as instruções apropriadas, contidas na documentação do Azure Monitor, para instalar o Agente do Azure Monitor em seu encaminhador de log. Lembre-se de usar as instruções para Linux, não para Windows.

• Instalar o AMA usando o PowerShell
• Instalar o AMA usando a CLI do Azure
• Instalar o AMA usando um modelo do Azure Resource Manager

Você pode criar regras de coleta de dados (DCRs) usando a API de ingestão de logs do Azure Monitor. Para obter mais informações, consulte Regras de coleta de dados no Azure Monitor.

Criar a regra de coleta de dados

Crie um arquivo JSON para a regra de coleta de dados, crie uma solicitação de API e envie a solicitação.

1. Prepare um arquivo de DCR no formato JSON. O conteúdo desse arquivo será o corpo da solicitação em sua solicitação de API.

   Para obter um exemplo, consulte Corpo da solicitação de criação de DCR do Syslog/CEF. Para coletar mensagens do syslog e CEF na mesma regra de coleta de dados, consulte o exemplo Fluxos do Syslog e CEF na mesma DCR.

   • Verifique se o campo streams está definido como Microsoft-Syslog para mensagens do syslog ou como Microsoft-CommonSecurityLog para mensagens CEF.
   • Adicione os níveis de log de filtro e instalação nos parâmetros facilityNames e logLevels. Confira Exemplos de instalações e seções de níveis de log.

2. Crie uma solicitação de API em um cliente da API REST de sua escolha.

   1. Para o cabeçalho e a URL da solicitação, copie a URL e o cabeçalho da solicitação a seguir.

      PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2022-06-01
      

      • Substitua os valores apropriados para os espaços reservados {subscriptionId} e {resourceGroupName}.
      • Insira um nome de sua escolha para a DCR no lugar do espaço reservado {dataCollectionRuleName}.

   2. Para o corpo da solicitação, copie e cole o conteúdo do arquivo JSON da DCR que você criou (na etapa 1 acima) no corpo da solicitação.

3. Enviar a solicitação.

   Para obter um exemplo da resposta que você deve receber, consulte Resposta de criação da DCR do Syslog/CEF.

Associar a DCR ao encaminhador de log

Agora você precisa criar uma Associação de DCR (DCRA) que vincule a DCR ao recurso de VM que hospeda o encaminhador de log.

1. Crie uma solicitação de API em um cliente da API REST de sua escolha.

2. Para o cabeçalho e a URL da solicitação, copie a URL de solicitação a seguir e o cabeçalho.

   PUT 
   https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{virtualMachineName}/providers/Microsoft.Insights/dataCollectionRuleAssociations/{dataCollectionRuleAssociationName}?api-version=2022-06-01
   

   • Substitua os valores apropriados para os espaços reservados {subscriptionId}, {resourceGroupName} e {virtualMachineName}.
   • Insira um nome de sua escolha para a DCR no lugar do espaço reservado {dataCollectionRuleAssociationName}.

3. No corpo da solicitação, copie o corpo da solicitação a seguir.

   {
     "properties": {
       "dataCollectionRuleId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}"
     }
   }
   

   • Substitua os valores apropriados para os espaços reservados {subscriptionId} e {resourceGroupName}.
   • Insira um nome de sua escolha para a DCR no lugar do espaço reservado {dataCollectionRuleName}.

4. Enviar a solicitação.

Exemplos de instalações e seções de níveis de log

Examine esses exemplos das configurações de níveis de instalações e log. O campo name inclui o nome do filtro.

Para a ingestão de mensagens CEF, o valor para "streams" deve ser "Microsoft-CommonSecurityLog" em vez de "Microsoft-Syslog".

Este exemplo coleta eventos das instalações cron, daemon, local0, local3 e uucp, com os níveis de log Warning, Error, Critical, Alert e Emergency:

    "dataSources": {
      "syslog": [
        {
        "name": "SyslogStream0",
        "streams": [
          "Microsoft-Syslog"
        ],
        "facilityNames": [ 
          "cron",
          "daemon",
          "local0",
          "local3", 
          "uucp"
        ],
        "logLevels": [ 
          "Warning", 
          "Error", 
          "Critical", 
          "Alert", 
          "Emergency"
        ]
      }
    ]
  }

Fluxos do Syslog e CEF na mesma DCR

Este exemplo mostra como você pode coletar mensagens do syslog e CEF na mesma DCR.

O DCR coleta mensagens de evento do CEF para:

• As instalações authpriv e mark com os níveis de log Info, Notice, Warning, Error, Critical, Alert e Emergency
• A instalação daemon com os níveis de log Warning, Error, Critical, Alert e Emergency

Ele coleta mensagens de evento do syslog para:

• As instalações kern, local0, local5 e news com os níveis de log Critical, Alert e Emergency
• As instalações mail e uucp com o nível de log Emergency

    "dataSources": {
      "syslog": [
        {
          "name": "CEFStream1",
          "streams": [ 
            "Microsoft-CommonSecurityLog"
          ],
          "facilityNames": [ 
            "authpriv", 
            "mark"
          ],
          "logLevels": [
            "Info",
            "Notice", 
            "Warning", 
            "Error", 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "CEFStream2",
          "streams": [ 
            "Microsoft-CommonSecurityLog"
          ],
          "facilityNames": [ 
            "daemon"
          ],
          "logLevels": [ 
            "Warning", 
            "Error", 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "SyslogStream3",
          "streams": [ 
            "Microsoft-Syslog"
          ],
          "facilityNames": [ 
            "kern",
            "local0",
            "local5", 
            "news"
          ],
          "logLevels": [ 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "SyslogStream4",
          "streams": [ 
            "Microsoft-Syslog"
          ],
          "facilityNames": [ 
            "mail",
            "uucp"
          ],
          "logLevels": [ 
            "Emergency"
          ]
        }
      ]
    }