Mata in syslog- och CEF-meddelanden till Microsoft Sentinel med Azure Monitor-agenten

Artikel
06/28/2024
Gäller för:

Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Den här artikeln beskriver hur du använder Syslog via AMA och Common Event Format (CEF) via AMA-anslutningsappar för att snabbt filtrera och mata in syslog-meddelanden, inklusive meddelanden i Common Event Format (CEF), från Linux-datorer och från nätverk och säkerhetsenheter och enheter. Mer information om dessa dataanslutningar finns i Syslog och Common Event Format (CEF) via AMA-anslutningsappar för Microsoft Sentinel.

Kommentar

Container Insights stöder nu den automatiska samlingen av Syslog-händelser från Linux-noder i dina AKS-kluster. Mer information finns i Syslog-samlingen med Container Insights.

Förutsättningar

Innan du börjar måste du ha resurserna konfigurerade och rätt behörigheter tilldelade, enligt beskrivningen i det här avsnittet.

Krav för Microsoft Sentinel

Installera lämplig Microsoft Sentinel-lösning och se till att du har behörighet att slutföra stegen i den här artikeln.

Installera lämplig lösning från innehållshubben i Microsoft Sentinel. Mer information finns i Identifiera och hantera innehåll i Microsoft Sentinel out-of-the-box.
Identifiera vilken dataanslutning som krävs för Microsoft Sentinel-lösningen – Syslog via AMA eller Common Event Format (CEF) via AMA och om du behöver installera lösningen Syslog eller Common Event Format . För att uppfylla den här förutsättningen
- I innehållshubben väljer du Hantera på den installerade lösningen och granskar dataanslutningsappen i listan.
- Om antingen Syslog via AMA eller Common Event Format (CEF) via AMA inte har installerats med lösningen kan du identifiera om du behöver installera lösningen Syslog eller Common Event Format genom att hitta enheten eller enheten från någon av följande artiklar:
  - CEF via AMA-dataanslutning – Konfigurera specifik installation eller enhet för Datainmatning i Microsoft Sentinel
  - Syslog via AMA-dataanslutning – Konfigurera specifik installation eller enhet för Microsoft Sentinel-datainmatning
  Installera sedan antingen lösningen Syslog eller Common Event Format från innehållshubben för att hämta den relaterade AMA-dataanslutningen.

Ha ett Azure-konto med följande rollbaserade Azure-åtkomstkontrollroller (Azure RBAC):

Inbyggd roll	Omfattning	Anledning
- Virtuell datordeltagare - Azure Connected Machine Resursadministratör	Virtuella datorer (VM) Virtual Machine Scale Sets Azure Arc-aktiverade servrar	Distribuera agenten
Alla roller som innehåller åtgärden Microsoft.Resources/deployments/*	Prenumeration Resursgrupp Befintlig datainsamlingsregel	Så här distribuerar du Azure Resource Manager-mallar
Övervakningsdeltagare	Prenumeration Resursgrupp Befintlig datainsamlingsregel	Så här skapar eller redigerar du regler för datainsamling

Krav för loggvidare

Om du samlar in meddelanden från en loggvidare gäller följande krav:

Du måste ha en utsedd virtuell Linux-dator som loggvidare för att kunna samla in loggar.
- Skapa en virtuell Linux-dator i Azure Portal.
- Linux-operativsystem som stöds för Azure Monitor Agent.
Om loggvidare inte är en virtuell Azure-dator måste azure Arc Connected Machine-agenten vara installerad på den.
Den virtuella Linux-loggvidaredatorn måste ha Python 2.7 eller 3 installerat. python --version Använd kommandot eller python3 --version för att kontrollera. Om du använder Python 3 kontrollerar du att det är inställt som standardkommando på datorn eller kör skript med kommandot "python3" i stället för "python".
Loggvidare måste ha antingen syslog-ng daemon aktiverat.rsyslog
Utrymmeskrav för din loggvidare finns i Prestandamått för Azure Monitor Agent. Du kan också granska det här blogginlägget, som innehåller design för skalbar inmatning.
Dina loggkällor, säkerhetsenheter och enheter måste konfigureras för att skicka sina loggmeddelanden till loggvidares syslog-daemon i stället för till deras lokala syslog-daemon.

Krav för datorsäkerhet

Konfigurera datorns säkerhet enligt organisationens säkerhetsprincip. Konfigurera till exempel nätverket så att det överensstämmer med företagets nätverkssäkerhetsprincip och ändra portarna och protokollen i daemonen så att de överensstämmer med dina krav. För att förbättra datorns säkerhetskonfiguration kan du skydda den virtuella datorn i Azure eller granska de här metodtipsen för nätverkssäkerhet.

Om dina enheter skickar syslog- och CEF-loggar via TLS eftersom till exempel loggvidare finns i molnet måste du konfigurera syslog-daemon (rsyslog eller syslog-ng) för att kommunicera i TLS. Mer information finns i:

Konfigurera datakopplingen

Konfigurationsprocessen för Syslog via AMA eller Common Event Format (CEF) via AMA-dataanslutningar innehåller följande steg:

Installera Azure Monitor-agenten och skapa en datainsamlingsregel (DCR) med någon av följande metoder:
- Azure- eller Defender-portalen
- Inmatnings-API för Azure Monitor-loggar
Om du samlar in loggar från andra datorer med hjälp av en loggvidare kör du installationsskriptet på loggvidare för att konfigurera syslog-daemon för att lyssna efter meddelanden från andra datorer och öppna nödvändiga lokala portar.

Välj lämplig flik för instruktioner.

Azure- eller Defender-portalen
Loggar inmatnings-API

Skapa datainsamlingsregel (DCR)

Kom igång genom att öppna Antingen Syslog via AMA eller Common Event Format (CEF) via AMA-dataanslutningen i Microsoft Sentinel och skapa en datainsamlingsregel (DCR).

För Microsoft Sentinel i Azure Portal går du till Konfiguration och väljer Dataanslutningar.
För Microsoft Sentinel i Defender-portalen väljer du Anslutningsappar för Microsoft Sentinel-konfigurationsdata>>.
För syslog skriver du Syslog i sökrutan. I resultatet väljer du Syslog via AMA-anslutningsappen .
För CEF skriver du CEF i sökrutan. I resultaten väljer du Common Event Format (CEF) via AMA-anslutningsappen .
Välj Sidan Öppna anslutningsapp i informationsfönstret.
I området Konfiguration väljer du +Skapa datainsamlingsregel.
På fliken Grundläggande :
- Skriv ett DCR-namn.
- Välj din prenumeration.
- Välj den resursgrupp där du vill hitta domänkontrollanten.
Välj Nästa: Resurser >.

Definiera VM-resurser

På fliken Resurser väljer du de datorer där du vill installera AMA– i det här fallet din loggvidaredator. Om loggvidare inte visas i listan kanske azure connected machine-agenten inte är installerad.

Använd de tillgängliga filtren eller sökrutan för att hitta den virtuella datorn för loggvidare. Expandera en prenumeration i listan för att se dess resursgrupper och en resursgrupp för att se dess virtuella datorer.
Välj den virtuella loggvidaredator som du vill installera AMA på. Kryssrutan visas bredvid namnet på den virtuella datorn när du hovrar över den.
Granska ändringarna och välj Nästa: Samla in >.

Välj anläggningar och allvarlighetsgrad

Tänk på att användning av samma funktion för både syslog- och CEF-meddelanden kan leda till datainmatningsduplicering. Mer information finns i Undvikande av datainmatningsduplicering.

På fliken Samla in väljer du den lägsta loggnivån för varje anläggning. När du väljer en loggnivå samlar Microsoft Sentinel in loggar för den valda nivån och andra nivåer med högre allvarlighetsgrad. Om du till exempel väljer LOG_ERR samlar Microsoft Sentinel in loggar för nivåerna LOG_ERR, LOG_CRIT, LOG_ALERT och LOG_EMERG .
Granska dina val och välj Nästa: Granska + skapa.

Granska och skapa regeln

När du har slutfört alla flikar granskar du det du angav och skapar datainsamlingsregeln.

På fliken Granska och skapa väljer du Skapa.

Anslutningsappen installerar Azure Monitor-agenten på de datorer som du valde när du skapade din DCR.
Kontrollera meddelandena i Azure Portal- eller Microsoft Defender-portalen för att se när DCR skapas och agenten är installerad.
Välj Uppdatera på anslutningssidan för att se DCR som visas i listan.

Installera Azure Monitor-agenten

Följ lämpliga instruktioner i Azure Monitor-dokumentationen för att installera Azure Monitor-agenten på loggvidare. Kom ihåg att använda instruktionerna för Linux, inte för Windows.

Du kan skapa datainsamlingsregler (DCR) med hjälp av AZURE Monitor Logs Ingestion API. Mer information finns i Datainsamlingsregler i Azure Monitor.

Skapa datainsamlingsregeln

Skapa en JSON-fil för datainsamlingsregeln, skapa en API-begäran och skicka begäran.

Förbered en DCR-fil i JSON-format. Innehållet i den här filen är begärandetexten i din API-begäran.

Ett exempel finns i Begärandetext för skapande av Syslog/CEF DCR. Information om hur du samlar in syslog- och CEF-meddelanden i samma datainsamlingsregel finns i exemplet syslog- och CEF-strömmar i samma DCR.
- Kontrollera att fältet streams är inställt på Microsoft-Syslog för syslog-meddelanden eller till Microsoft-CommonSecurityLog för CEF-meddelanden.
- Lägg till filter- och anläggningsloggnivåerna i parametrarna facilityNames och logLevels . Se Exempel på avsnitt om anläggningar och loggnivåer.
Skapa en API-begäran i en REST API-klient som du väljer.
1. Kopiera följande begärande-URL och sidhuvud för begärande-URL:en och -huvudet.
```
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2022-06-01
```
  - Ersätt lämpliga värden för {subscriptionId} platshållarna och {resourceGroupName} .
  - Ange ett valfritt namn för DCR i stället {dataCollectionRuleName} för platshållaren.
2. För begärandetexten kopierar och klistrar du in innehållet i DCR JSON-filen som du skapade (i steg 1 ovan) i begärandetexten.
Skicka begäran.

Ett exempel på det svar som du bör få finns i skapandesvaret för Syslog/CEF DCR.

Associera DCR med loggvidare

Nu måste du skapa en DCR Association (DCRA) som binder DCR till den VM-resurs som är värd för loggvidare.

Skapa en API-begäran i en REST API-klient som du väljer.

Kopiera följande begärande-URL och sidhuvud för begärande-URL:en och rubriken.

PUT 
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{virtualMachineName}/providers/Microsoft.Insights/dataCollectionRuleAssociations/{dataCollectionRuleAssociationName}?api-version=2022-06-01

Ersätt lämpliga värden för {subscriptionId}platshållarna , {resourceGroupName}och {virtualMachineName} .
Ange ett valfritt namn för DCR i stället {dataCollectionRuleAssociationName} för platshållaren.

Kopiera följande begärandetext för begärandetexten.
```
{
  "properties": {
    "dataCollectionRuleId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}"
  }
}
```
- Ersätt lämpliga värden för {subscriptionId} platshållarna och {resourceGroupName} .
- Ange ett valfritt namn för DCR i stället {dataCollectionRuleName} för platshållaren.
Skicka begäran.

Exempel på avsnitt om anläggningar och loggnivåer

Granska de här exemplen på inställningar för anläggningar och loggnivåer. Fältet name innehåller filternamnet.

För CEF-meddelandeinmatning ska värdet för vara "Microsoft-CommonSecurityLog" i stället "Microsoft-Syslog"för "streams" .

Det här exemplet samlar in händelser från cronnivåerna , daemon, local0, local3 och med uucp Warningloggnivåerna , , CriticalError, Alertoch Emergency :

    "dataSources": {
      "syslog": [
        {
        "name": "SyslogStream0",
        "streams": [
          "Microsoft-Syslog"
        ],
        "facilityNames": [ 
          "cron",
          "daemon",
          "local0",
          "local3", 
          "uucp"
        ],
        "logLevels": [ 
          "Warning", 
          "Error", 
          "Critical", 
          "Alert", 
          "Emergency"
        ]
      }
    ]
  }

Syslog- och CEF-strömmar i samma DCR

Det här exemplet visar hur du kan samla in syslog- och CEF-meddelanden i samma DCR.

DCR samlar in CEF-händelsemeddelanden för:

Anläggningarna och med loggnivåerna , Notice, Warning, Error, AlertCriticaloch Emergency Infomark authpriv
Anläggningen daemon med Warningloggnivåerna , Error, Critical, Alertoch Emergency

Den samlar in syslog-händelsemeddelanden för:

Anläggningarna kern, local0, local5och news med Criticalloggnivåerna , Alertoch Emergency
Anläggningarna mail och uucp med Emergency loggnivån

    "dataSources": {
      "syslog": [
        {
          "name": "CEFStream1",
          "streams": [ 
            "Microsoft-CommonSecurityLog"
          ],
          "facilityNames": [ 
            "authpriv", 
            "mark"
          ],
          "logLevels": [
            "Info",
            "Notice", 
            "Warning", 
            "Error", 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "CEFStream2",
          "streams": [ 
            "Microsoft-CommonSecurityLog"
          ],
          "facilityNames": [ 
            "daemon"
          ],
          "logLevels": [ 
            "Warning", 
            "Error", 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "SyslogStream3",
          "streams": [ 
            "Microsoft-Syslog"
          ],
          "facilityNames": [ 
            "kern",
            "local0",
            "local5", 
            "news"
          ],
          "logLevels": [ 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "SyslogStream4",
          "streams": [ 
            "Microsoft-Syslog"
          ],
          "facilityNames": [ 
            "mail",
            "uucp"
          ],
          "logLevels": [ 
            "Emergency"
          ]
        }
      ]
    }

Kör installationsskriptet

Om du använder en loggvidare konfigurerar du syslog-daemon så att den lyssnar efter meddelanden från andra datorer och öppnar nödvändiga lokala portar.

Från anslutningssidan kopierar du kommandoraden som visas under Kör följande kommando för att installera och tillämpa CEF-insamlaren:

Skärmbild av kommandoraden på anslutningssidan.

Eller kopiera det härifrån:

sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python Forwarder_AMA_installer.py

Logga in på loggvidaredatorn där du precis har installerat AMA.
Klistra in kommandot som du kopierade i det sista steget för att starta installationsskriptet.
Skriptet konfigurerar rsyslog eller syslog-ng daemon att använda det protokoll som krävs och startar om daemonen. Skriptet öppnar port 514 för att lyssna på inkommande meddelanden i både UDP- och TCP-protokoll. Om du vill ändra den här inställningen läser du konfigurationsfilen för syslog-daemon enligt den daemontyp som körs på datorn:
- Rsyslog: /etc/rsyslog.conf
- Syslog-ng: /etc/syslog-ng/syslog-ng.conf
Om du använder Python 3 och inte har angetts som standardkommando på datorn ersätter python3 python du med det inklistrade kommandot. Se Krav för loggvidare.

Kommentar

För att undvika fulldiskscenarier där agenten inte kan fungera rekommenderar vi att du ställer in eller rsyslog konfigurationen syslog-ng för att inte lagra onödiga loggar. Ett fullständigt diskscenario stör funktionen för den installerade AMA:en. Mer information finns i RSyslog eller Syslog-ng.

Konfigurera säkerhetsenheten eller enheten

Få specifika instruktioner för att konfigurera din säkerhetsenhet eller -installation genom att gå till någon av följande artiklar:

Kontakta lösningsleverantören om du vill ha mer information eller om informationen inte är tillgänglig för enheten eller enheten.

Testa anslutningsprogrammet

Kontrollera att loggar från din Linux-dator eller säkerhetsenheter och -enheter matas in i Microsoft Sentinel.

Kör följande kommando för att verifiera att syslog-daemon körs på UDP-porten och att AMA lyssnar:
```
netstat -lnptv
```
Du bör se daemonen rsyslog eller syslog-ng lyssna på port 514.
Om du vill samla in meddelanden som skickas från en loggare eller en ansluten enhet kör du det här kommandot i bakgrunden:
```
tcpdump -i any port 514 -A -vv &
```
När du har slutfört verifieringen rekommenderar vi att du stoppar tcpdump: Type fg och sedan väljer Ctrl+C.
Slutför följande steg för att skicka demomeddelanden:
- Använd netcat-verktyget. I det här exemplet läser verktyget data som publicerats via echo kommandot med den nya växeln avstängd. Verktyget skriver sedan data till UDP-porten 514 på localhost utan tidsgräns. Om du vill köra netcat-verktyget kan du behöva installera ett annat paket.
```
echo -n "<164>CEF:0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time" | nc -u -w0 localhost 514
```
- Använd loggern. Det här exemplet skriver meddelandet till local 4 anläggningen, på allvarlighetsgrad Warning, till port 514, på den lokala värden, i CEF RFC-format. Flaggorna -t och --rfc3164 används för att följa det förväntade RFC-formatet.
```
logger -p local4.warn -P 514 -n 127.0.0.1 --rfc3164 -t CEF "0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time"
```

Kontrollera att anslutningsappen är korrekt installerad genom att köra felsökningsskriptet med något av följande kommandon:

Kör för CEF-loggar:

 sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --cef

För Cisco Adaptive Security Appliance-loggar (ASA) kör du:

sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --asa

För Cisco Firepower Threat Defense-loggar (FTD) kör du:

sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --ftd

Dela via

Mata in syslog- och CEF-meddelanden till Microsoft Sentinel med Azure Monitor-agenten

Förutsättningar

Krav för Microsoft Sentinel

Krav för loggvidare

Krav för datorsäkerhet

Konfigurera datakopplingen

Skapa datainsamlingsregel (DCR)

Definiera VM-resurser

Välj anläggningar och allvarlighetsgrad

Granska och skapa regeln

Installera Azure Monitor-agenten

Skapa datainsamlingsregeln

Associera DCR med loggvidare

Exempel på avsnitt om anläggningar och loggnivåer

Syslog- och CEF-strömmar i samma DCR

Kör installationsskriptet

Konfigurera säkerhetsenheten eller enheten

Testa anslutningsprogrammet

Feedback

Ytterligare resurser

Dela via

Mata in syslog- och CEF-meddelanden till Microsoft Sentinel med Azure Monitor-agenten

Förutsättningar

Krav för Microsoft Sentinel

Krav för loggvidare

Krav för datorsäkerhet

Konfigurera datakopplingen

Skapa datainsamlingsregel (DCR)

Definiera VM-resurser

Välj anläggningar och allvarlighetsgrad

Granska och skapa regeln

Kör installationsskriptet

Konfigurera säkerhetsenheten eller enheten

Testa anslutningsprogrammet

Relaterat innehåll

Feedback

Ytterligare resurser