Naplók gyűjtése szövegfájlokból az Azure Monitor-ügynökkel és a Microsoft Sentinelbe való betöltéssel

Cikk
08/16/2024
A következőre érvényes::

Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Ez a cikk azt ismerteti, hogyan használhatja az egyéni naplókat az AMA-összekötőn keresztül a naplók gyors szűrésére és betöltésére szöveges fájlformátumban a Windows vagy Linux rendszerű gépekre telepített hálózati vagy biztonsági alkalmazásokból.

Számos alkalmazás naplózza az adatokat szöveges fájlokba a szokásos naplózási szolgáltatások, például a Windows eseménynapló vagy a Syslog helyett. Az Azure Monitor Agent (AMA) használatával nem szabványos formátumú szövegfájlokban gyűjthet adatokat Windows és Linux rendszerű számítógépekről. Az AMA a gyűjtés során az adatokon végzett átalakításokat is képes befolyásolni, hogy azokat különböző mezőkbe elemezhesse.

Azokról az alkalmazásokról, amelyekhez a Microsoft Sentinel a naplógyűjtést támogató megoldásokkal rendelkezik, további információt az AMA-adatösszekötőn keresztüli egyéni naplók – Adatbetöltés konfigurálása adott alkalmazásokból a Microsoft Sentinelbe című témakörben talál.

Az egyéni naplók szövegfájlokból való betöltésével kapcsolatos általános információkért lásd : Naplók gyűjtése szövegfájlból az Azure Monitor-ügynökkel.

Fontos

Az AMA-adatösszekötőn keresztüli egyéni naplók jelenleg előzetes verzióban érhetőek el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
A Microsoft Sentinel általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel elérhető a Defender portálon Microsoft Defender XDR vagy E5 licenc nélkül. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Előfeltételek

A kezdés előtt konfigurálnia kell az erőforrásokat és a megfelelő engedélyeket az ebben a szakaszban leírtak szerint.

A Microsoft Sentinel előfeltételei

Telepítse az alkalmazásnak megfelelő Microsoft Sentinel-megoldást, és győződjön meg arról, hogy rendelkezik a jelen cikkben ismertetett lépések végrehajtásához szükséges engedélyekkel. Ezeket a megoldásokat a Microsoft Sentinel Tartalomközpontjában találja, és mindegyik tartalmazza az egyéni naplókat az AMA-összekötőn keresztül.

Azoknak az alkalmazásoknak a listáját, amelyek megoldásokkal rendelkeznek a tartalomközpontban, tekintse meg az alkalmazásonkénti konkrét utasításokat. Ha nem érhető el megoldás az alkalmazáshoz, telepítse az egyéni naplókat az AMA-megoldáson keresztül.

További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.

Rendelkezik azure-fiókkal az alábbi Azure-szerepköralapú hozzáférés-vezérlési (Azure RBAC-) szerepkörökkel:

Beépített szerepkör	Hatókör	Ok
- Virtuális gépek közreműködője - Azure Csatlakoztatott gép Erőforrás-rendszergazda	Virtuális gépek (VM) Virtual Machine Scale Sets Azure Arc-kompatibilis kiszolgálók	Az ügynök üzembe helyezése
Minden olyan szerepkör, amely tartalmazza a műveletet Microsoft.Resources/deployments/*	Előfizetés Erőforráscsoport Meglévő adatgyűjtési szabály	Azure Resource Manager-sablonok üzembe helyezése
Figyelési közreműködő	Előfizetés Erőforráscsoport Meglévő adatgyűjtési szabály	Adatgyűjtési szabályok létrehozása vagy szerkesztése

A naplótovábbító előfeltételei

Egyes egyéni alkalmazások zárt berendezéseken vannak üzemeltetve, amelyek szükségessé teszik a naplók külső naplógyűjtőnek/továbbítónak való küldését. Ilyen esetben a következő előfeltételek vonatkoznak a naplótovábbítóra:

A naplók gyűjtéséhez rendelkeznie kell egy kijelölt Linux rendszerű virtuális géppel, mint naplótovábbítóval.
- Linux rendszerű virtuális gép létrehozása az Azure Portalon.
- Támogatott Linux operációs rendszerek az Azure Monitor Agenthez.
Ha a naplótovábbító nem Azure-beli virtuális gép, akkor az Azure Arc Connected Machine-ügynököt kell telepíteni.
A Linux-naplótovábbító virtuális gépnek telepítve kell lennie a Python 2.7-nek vagy 3-nak. Az ellenőrzéshez használja a python --version vagy python3 --version a parancsot. Ha Python 3-at használ, győződjön meg arról, hogy a gép alapértelmezett parancsaként van beállítva, vagy a python helyett a "python3" paranccsal futtathat szkripteket.
A naplótovábbítónak engedélyeznie kell a démont vagy rsyslog a syslog-ng démont.
A naplótovábbító helykövetelményeiért tekintse meg az Azure Monitor-ügynök teljesítménymutatóját. Ezt a blogbejegyzést is áttekintheti, amely skálázható betöltési terveket is tartalmaz.
A naplóforrásokat, biztonsági eszközöket és berendezéseket úgy kell konfigurálni, hogy a naplóüzeneteiket a naplótovábbító syslog démonjának küldjék el a helyi syslog démon helyett.

Gépbiztonsági előfeltételek

Konfigurálja a naplótovábbító gép biztonságát a szervezet biztonsági szabályzatának megfelelően. Konfigurálja például a hálózatot úgy, hogy megfeleljen a vállalati hálózati biztonsági szabályzatnak, és módosítsa a démon portjait és protokolljait a követelményeknek megfelelően. A gép biztonsági konfigurációjának javítása érdekében biztonságossá teheti a virtuális gépet az Azure-ban, vagy áttekintheti a hálózati biztonságra vonatkozó ajánlott eljárásokat.

Ha az eszközök azért küldenek naplókat TLS-en keresztül, mert például a naplótovábbító a felhőben van, konfigurálnia kell a syslog démont (rsyslog vagy syslog-ng) a TLS-ben való kommunikációhoz. További információk:

Az adatösszekötő konfigurálása

Az egyéni naplók AMA-adatösszekötőn keresztüli beállítási folyamata a következő lépéseket tartalmazza:

Hozza létre a céltáblát a Log Analyticsben (vagy speciális vadászatban, ha a Defender portálon van).

A tábla nevének végződnie kell _CL , és csak a következő két mezőből állhat:
- TimeGenerated (DateTime típusú): a naplóüzenet létrehozásának időbélyege.
- RawData (karakterlánc típusú): a naplóüzenet teljes egészében.
  (Ha naplókat gyűjt egy naplótovábbítótól, és nem közvetlenül az alkalmazást üzemeltető eszközről, nevezze el ezt a mezőt Üzenet a RawData helyett.)
Telepítse az Azure Monitor-ügynököt, és hozzon létre egy adatgyűjtési szabályt (DCR) az alábbi módszerek valamelyikével:
- Azure vagy Defender portál
- Azure Resource Manager-sablon
Ha naplókat gyűjt egy naplótovábbító használatával, konfigurálja a syslog démont a gépen, hogy más forrásokból érkező üzeneteket hallgasson, és nyissa meg a szükséges helyi portokat. További információ: A naplótovábbító konfigurálása a naplók elfogadásához.

Válassza ki a megfelelő lapot az utasításokhoz.

Azure vagy Defender portál
Resource Manager-sablon

Adatgyűjtési szabály (DCR) létrehozása

Első lépésként nyissa meg az egyéni naplókat az AMA-adatösszekötőn keresztül a Microsoft Sentinelben, és hozzon létre egy adatgyűjtési szabályt (DCR).

Az Azure PortalOn a Microsoft Sentinel esetében a Konfiguráció területen válassza az Adatösszekötők lehetőséget.
A Microsoft Sentinel esetében a Defender portálon válassza a Microsoft Sentinel>konfigurációs>adatösszekötőket.
Írja be az egyéni kifejezést a Keresőmezőbe . Az eredmények közül válassza ki az egyéni naplókat az AMA-összekötőn keresztül.
Válassza az Összekötő megnyitása lapot a részletek panelen.
A Konfiguráció területen válassza a +Adatgyűjtési szabály létrehozása lehetőséget.
Az Alapszintű lapon:
- Adjon meg egy DCR-nevet.
- Válassza ki előfizetését.
- Válassza ki azt az erőforráscsoportot, amelyben meg szeretné keresni a DCR-t.
Válassza a Következő: Erőforrások >lehetőséget.

Virtuálisgép-erőforrások definiálása

Az Erőforrások lapon válassza ki azokat a gépeket, amelyekről a naplókat gyűjteni szeretné. Ezek vagy azok a gépek, amelyekre az alkalmazás telepítve van, vagy a naplótovábbító gépek. Ha a keresett gép nem jelenik meg a listában, lehet, hogy nem egy Azure-beli virtuális gép, amelyen telepítve van az Azure Connected Machine-ügynök.

A rendelkezésre álló szűrőkkel vagy keresőmezővel keresse meg a keresett gépet. Bontsa ki az előfizetést a listában az erőforráscsoportok megtekintéséhez, és egy erőforráscsoportot a virtuális gépek megtekintéséhez.
Válassza ki azt a gépet, amelyről naplókat szeretne gyűjteni. A jelölőnégyzet a virtuális gép neve mellett jelenik meg, amikor rámutat rá.

Ha a kiválasztott gépeken még nincs telepítve az Azure Monitor-ügynök, az ügynök a DCR létrehozásakor és üzembe helyezésekor lesz telepítve.
Tekintse át a módosításokat, és válassza a Tovább: Gyűjtés >lehetőséget.

Az alkalmazás DCR-jének konfigurálása

A Gyűjtemény lapon válassza ki az alkalmazást vagy az eszköztípust az Eszköztípus kiválasztása (nem kötelező) legördülő listából, vagy hagyja meg egyéni új táblaként, ha az alkalmazás vagy eszköz nem szerepel a listán.
Ha a felsorolt alkalmazások vagy eszközök egyikét választotta, a Táblanév mező automatikusan ki lesz töltve a megfelelő táblanévvel. Ha az Egyéni új tábla lehetőséget választotta, adjon meg egy táblanevet a Tábla neve alatt. A névnek az _CL utótaggal kell végződnie.
A Fájlminta mezőben adja meg az összegyűjtendő szöveg naplófájlok elérési útját és fájlnevét. Az egyes alkalmazások vagy eszköztípusok alapértelmezett fájlneveit és elérési útvonalait az alkalmazástípusonkénti konkrét utasításokban találja. Nem kell az alapértelmezett fájlneveket vagy elérési utakat használnia, és helyettesítő karaktereket is használhat a fájlnévben.
Ha az 1. lépésben egyéni új táblát választott az Átalakítás mezőben, adjon meg egy Kusto-lekérdezést, amely a választott átalakítást alkalmazza az adatokra.

Ha az 1. lépésben az egyik felsorolt alkalmazást vagy eszközt választotta, a mező automatikusan feltöltődik a megfelelő átalakítással. NE szerkessze az ott megjelenő átalakítást. A választott típustól függően ennek az értéknek a következők egyikének kell lennie:
- source (az alapértelmezett – nincs átalakítás)
- source | project-rename Message=RawData (olyan eszközök esetében, amelyek naplókat küldenek egy továbbítónak)
Tekintse át a kijelölt elemeket, és válassza a Tovább: Áttekintés + létrehozás lehetőséget.

A szabály áttekintése és létrehozása

Miután elvégezte az összes lapot, tekintse át a beírt adatokat, és hozza létre az adatgyűjtési szabályt.

A Véleményezés és létrehozás lapon válassza a Létrehozás lehetőséget.

Az összekötő telepíti az Azure Monitor-ügynököt a DCR létrehozásakor kiválasztott gépekre.
Ellenőrizze az Azure Portalon vagy a Microsoft Defender portálon található értesítéseket, hogy lássa, mikor jön létre a DCR, és az ügynök telepítve van.
Válassza a Frissítés lehetőséget az összekötő oldalán a DCR megjelenítéséhez a listában.

Az Azure Monitor-ügynök telepítése

Az Azure Monitor dokumentációjának megfelelő utasításait követve telepítse az Azure Monitor-ügynököt az alkalmazást üzemeltető gépen vagy a naplótovábbítón. Szükség esetén használja a Windowsra vagy Linuxra vonatkozó utasításokat.

Adatgyűjtési szabályok (DCR-ek) létrehozása az Azure Monitor Logs Ingestion API használatával. További információ: Adatgyűjtési szabályok az Azure Monitorban.

Az adatgyűjtési szabály létrehozása

A következő ARM-sablonnal hozhat létre vagy módosíthat egy DCR-t a szöveges naplófájlok gyűjtéséhez:

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "type": "Microsoft.Insights/dataCollectionRules",
            "name": "{DCR_NAME}",
            "location": "{DCR_LOCATION}",
            "apiVersion": "2022-06-01",
            "properties": {
                "streamDeclarations": {
                    "Custom-Text-{TABLE_NAME}": {
                        "columns": [
                            {
                                "name": "TimeGenerated",
                                "type": "datetime"
                            },
                            {
                                "name": "RawData",
                                "type": "string"
                            },
                        ]
                    }
                },
                "dataSources": {
                    "logFiles": [
                        {
                            "streams": [
                                "Custom-Text-{TABLE_NAME}"
                            ],
                            "filePatterns": [
                                "{LOCAL_PATH_FILE_1}","{LOCAL_PATH_FILE_2}"
                            ],
                            "format": "text",
                            "name": "Custom-Text-{TABLE_NAME}"
                        }
                    ]
                },
                "destinations": {
                    "logAnalytics": [
                        {
                            "workspaceResourceId": "{WORKSPACE_RESOURCE_PATH}",
                            "workspaceId": "{WORKSPACE_ID}",
                            "name": "workspace"
                        }
                    ]
                },
                "dataFlows": [
                    {
                        "streams": [
                            "Custom-Text-{TABLE_NAME}"
                        ],
                        "destinations": [
                            "DataCollectionEvent"
                        ],
                        "transformKql": "source",
                        "outputStream": "Custom-{TABLE_NAME}"
                    }
                ]
            }
        }
    ]
}

Cserélje le a(z) {PLACE_HOLDER} értékeket a következő értékekre:

Helyőrző	Érték
{DCR_NAME}	Az adatgyűjtési szabályhoz választott név. A munkaterületen belül egyedinek kell lennie.
{DCR_LOCATION}	Az a régió, ahol a DCR-t tartalmazó erőforráscsoport található.
{TABLE_NAME}	A Log Analytics céltáblájának neve. A végződésnek a .-val kell végződnie `_CL`.
{LOCAL_PATH_FILE_1} (kötelező), {LOCAL_PATH_FILE_2} (nem kötelező)	A gyűjtendő naplókat tartalmazó szövegfájlok elérési útjai és fájlnevei. Ezeknek azon a gépen kell lenniük, amelyen az Azure Monitor-ügynök telepítve van.
{WORKSPACE_RESOURCE_PATH}	A Microsoft Sentinel-munkaterület Azure-erőforrásútvonala.
{WORKSPACE_ID}	A Microsoft Sentinel-munkaterület GUID azonosítója.

A DCR társítása az Azure Monitor-ügynökkel

Ha ARM-sablonnal hozza létre a DCR-t, akkor is társítania kell a DCR-t a használni kívánt ügynökökkel. Az Azure Portalon szerkesztheti a DCR-t, és kiválaszthatja az ügynököket a virtuálisgép-erőforrások definiálása című szakaszban leírtak szerint.

Naplók elfogadására konfigurálja a naplótovábbítót

Ha naplókat gyűjt egy berendezésből egy naplótovábbító használatával, konfigurálja a naplótovábbító syslog démonját, hogy figyelje a többi gép üzeneteit, és nyissa meg a szükséges helyi portokat.

Másolja ki a következő parancssort:

sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python Forwarder_AMA_installer.py

Jelentkezzen be a naplótovábbító gépre, ahol most telepítette az AMA-t.
Illessze be az utolsó lépésben másolt parancsot a telepítési szkript elindításához.
A szkript konfigurálja a rsyslog syslog-ng démont a szükséges protokoll használatára, és újraindítja a démont. A szkript megnyitja az 514-ös portot, hogy az UDP- és TCP-protokollokban is figyelje a bejövő üzeneteket. A beállítás módosításához tekintse meg a syslog démon konfigurációs fájlját a számítógépen futó démontípusnak megfelelően:
- Rsyslog: /etc/rsyslog.conf
- Syslog-ng: /etc/syslog-ng/syslog-ng.conf
Ha Python 3-at használ, és nincs beállítva alapértelmezett parancsként a gépen, helyettesítse python3 python a beillesztett parancsot. Lásd a naplótovábbító előfeltételeit.

Feljegyzés

A teljes lemezes forgatókönyvek elkerülése érdekében, ha az ügynök nem tud működni, javasoljuk, hogy állítsa be a syslog-ng rsyslog konfigurációt a szükségtelen naplók tárolására. A teljes lemezes forgatókönyv megzavarja a telepített AMA működését. További információ: RSyslog vagy Syslog-ng.

A biztonsági eszköz vagy berendezés konfigurálása

A biztonsági alkalmazás vagy berendezés konfigurálására vonatkozó konkrét utasításokért lásd : Egyéni naplók az AMA-adatösszekötőn keresztül – Adatbetöltés konfigurálása a Microsoft Sentinelnek adott alkalmazásokból

További információért forduljon a megoldásszolgáltatóhoz, vagy ha az információ nem érhető el a berendezéshez vagy az eszközhöz.

Megosztás a következőn keresztül:

Naplók gyűjtése szövegfájlokból az Azure Monitor-ügynökkel és a Microsoft Sentinelbe való betöltéssel