Azure Yerel için syslog iletmeyi yönetme
Şunlar için geçerlidir: Azure Yerel 2311.2 ve üzeri
Bu makalede, Azure Local için syslog protokolü kullanılarak müşteri tarafından yönetilen bir güvenlik bilgileri ve olay yönetimi (SIEM) sistemine iletilecek güvenlik olaylarının nasıl yapılandırılacağı açıklanır.
Güvenlik izleme çözümleriyle tümleştirmek ve bunları kendi SIEM platformunuzda saklama amacıyla depolamak üzere ilgili güvenlik olay günlüklerini almak için syslog iletmeyi kullanın. Bu sürümdeki güvenlik özellikleri hakkında daha fazla bilgi için bkz. azure yerel için güvenlik özellikleri.
Syslog iletmeyi yapılandırma
Syslog iletme aracıları varsayılan olarak her Azure Yerel konağına dağıtılır ve yapılandırılmaya hazırdır. Her bir ajan, ana bilgisayardan güvenlik olaylarını syslog biçiminde, müşteri tarafından yapılandırılmış syslog sunucusuna iletir.
Syslog iletme aracıları birbirinden bağımsız olarak çalışır, ancak konaklardan herhangi birinde birlikte yönetilebilir. Tüm iletici aracılarının davranışını denetlemek için herhangi bir konakta yönetim ayrıcalıklarına sahip PowerShell cmdlet'lerini kullanın.
Azure Yerel'deki syslog ileticisi aşağıdaki yapılandırmaları destekler:
TCP, karşılıklı kimlik doğrulaması (istemci ve sunucu) ve TLS şifrelemesi ile Syslog iletme: Bu yapılandırmada hem syslog sunucusu hem de syslog istemcisi sertifikalar aracılığıyla birbirlerinin kimliğini doğrular. İletiler, şifrelenmiş bir TLS kanalı üzerinden gönderilir. Daha fazla bilgi için bkz . TCP ile Syslog iletme, karşılıklı kimlik doğrulaması (istemci ve sunucu) ve TLS şifrelemesi.
TCP, sunucu kimlik doğrulaması ve TLS şifrelemesi ile syslog iletme: Bu yapılandırmada, syslog istemcisi bir sertifika aracılığıyla syslog sunucusunun kimliğini doğrular. İletiler, şifrelenmiş bir TLS kanalı üzerinden gönderilir. Daha fazla bilgi için bkz . TCP ile Syslog iletme, sunucu kimlik doğrulaması ve TLS şifrelemesi.
TCP ile syslog iletme ve şifreleme yok: Bu yapılandırmada syslog istemcisi ve syslog sunucu kimlikleri doğrulanmıyor. İletiler TCP üzerinden düz metin olarak gönderilir. Daha fazla bilgi için bkz. TCP ile şifreleme olmadan Syslog yönlendirme.
UDP ile syslog ve şifreleme yok: Bu yapılandırmada syslog istemcisi ve syslog sunucu kimlikleri doğrulanmıyor. İletiler UDP üzerinden düz metin olarak gönderilir. Daha fazla bilgi için Şifreleme olmadan UDP ile syslog iletme kısmına bakın.
Önemli
Microsoft, ortadaki adam saldırılarına ve iletileri dinlemeye karşı koruma sağlamak için üretim ortamlarında kimlik doğrulaması ve şifreleme ile TCP kullanmanızı kesinlikle önerir. TLS şifreleme sürümü, uç noktalar arasındaki el sıkışmaya bağlıdır. Hem TLS 1.2 hem de TLS 1.3 varsayılan olarak desteklenir.
Syslog iletmeyi yapılandırmak için cmdlet'ler
Syslog ileticisini yapılandırmak için bir etki alanı yönetici hesabı kullanarak fiziksel konağa erişim gerekir. Syslog ileticisinin davranışını denetlemek için tüm Azure Yerel konaklarına bir dizi PowerShell cmdlet'i eklenir.
Set-AzSSyslogForwarder cmdlet'i, tüm ana makineler için syslog ileticisi yapılandırmasını ayarlamak için kullanılır. Başarılı olursa, tüm konaklar genelinde syslog iletici ajanlarını yapılandırmak için bir eylem planı başlatılır. Eylem planı örneği kimliği döndürülür.
Syslog sunucusu bilgilerini ileticiye geçirmek ve aktarım protokollerini, şifrelemeyi, kimlik doğrulamasını ve istemci ile sunucu arasında kullanılan isteğe bağlı sertifikayı yapılandırmak için aşağıdaki cmdlet'i kullanın:
Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove]
Cmdlet parametreleri
Aşağıdaki tabloda, cmdlet'in Set-AzSSyslogForwarder parametreleri sağlanmaktadır.
| Parametre | Açıklama | Tür | Zorunlu |
|---|---|---|---|
| SunucuAdı | Syslog sunucusunun FQDN veya IP adresi. | Dize | Yes |
| ServerPort | Syslog sunucusunun dinlediği bağlantı noktası numarası. | UInt16 | Yes |
| NoEncryption | İstemciyi syslog iletilerini düz metin olarak göndermeye zorlayın. | Bayrak | Hayır |
| Sunucu Sertifika Kontrolünü Atla | İlk TLS el sıkışması sırasında syslog sunucusu tarafından sağlanan sertifikanın doğrulamasını atlayın. | Bayrak | Hayır |
| SkipServerCNCheck | İlk TLS el sıkışması sırasında syslog sunucusu tarafından sağlanan sertifikanın Ortak Ad değerini doğrulamayı atlayın. | Bayrak | Hayır |
| KullanUDP | Aktarım protokolü olarak UDP ile syslog kullanın. | Bayrak | Hayır |
| İstemci Sertifikası Parmak İzi | Syslog sunucusuyla iletişim kurmak için kullanılan istemci sertifikasının parmak izi. | String | Hayır |
| OutputSeverity | Çıkış kaydı seviyesi. Değerler Varsayılan veya Ayrıntılı olabilir. Varsayılan değer önem düzeylerini içerir: uyarı, kritik veya hata. Ayrıntılı, tüm önem düzeylerini içerir: ayrıntılı, bilgilendirme, uyarı, kritik veya hata. | String | Hayır |
| Kaldır | Geçerli syslog ileticisi yapılandırmasını kaldırın ve syslog ileticisini durdurun. | Bayrak | Hayır |
TCP, karşılıklı kimlik doğrulaması (istemci ve sunucu) ve TLS şifrelemesi ile syslog iletme
Bu yapılandırmada, Azure Local'daki syslog istemcisi iletileri TLS şifrelemesi ile TCP üzerinden syslog sunucusuna iletir. İlk el sıkışma sırasında istemci, sunucunun geçerli, güvenilir bir sertifika sağladığını doğrular. İstemci ayrıca sunucuya kimliğinin kanıtı olarak bir sertifika sağlar.
Bu yapılandırma, hem istemcinin hem de sunucunun kimliğinin tam doğrulamasını sağladığından ve şifrelenmiş bir kanal üzerinden ileti gönderdiğinden en güvenli yapılandırmadır.
Önemli
Microsoft, bu yapılandırmayı üretim ortamları için kullanmanızı önerir.
Syslog ileticisini TCP, karşılıklı kimlik doğrulaması ve TLS şifrelemesi ile yapılandırmak için sunucuyu yapılandırın ve istemciye sunucuda kimlik doğrulaması için sertifika sağlayın.
Fiziksel bir konakta aşağıdaki cmdlet'i çalıştırın:
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>
Önemli
İstemci sertifikası bir özel anahtar içermelidir. İstemci sertifikası otomatik olarak imzalanan bir kök sertifika kullanılarak imzalandıysa, kök sertifikayı da içeri aktarmanız gerekir.
TCP, sunucu kimlik doğrulaması ve TLS şifrelemesi ile syslog iletme
Bu yapılandırmada, Azure Local'daki syslog ileticisi iletileri TLS şifrelemesi ile TCP üzerinden syslog sunucusuna iletir. İlk el sıkışma sırasında istemci, sunucunun geçerli, güvenilir bir sertifika sağladığını da doğrular.
Bu yapılandırma, istemcinin güvenilmeyen hedeflere ileti göndermesini engeller. Kimlik doğrulaması ve şifreleme kullanan TCP varsayılan yapılandırmadır ve Microsoft'un üretim ortamı için önerdiği en düşük güvenlik düzeyini temsil eder.
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>
Otomatik olarak imzalanan veya güvenilmeyen bir sertifika kullanarak syslog sunucunuzun Azure Yerel syslog ileticisi ile tümleştirmesini test etmek istiyorsanız, ilk el sıkışma sırasında istemci tarafından yapılan sunucu doğrulamasını atlamak için bu bayrakları kullanın.
Sunucu sertifikasındaki Ortak Ad değerini doğrulamayı atlayın. Syslog sunucunuz için bir IP adresi sağlarsanız bu bayrağı kullanın.
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -SkipServerCNCheckSunucu sertifikası doğrulamasını atlayın.
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -SkipServerCertificateCheckÖnemli
Microsoft, üretim ortamlarında
-SkipServerCertificateCheckbayrağını kullanmamanızı önerir.
TCP kullanarak şifresiz syslog iletme
Bu yapılandırmada, Azure Local'daki syslog istemcisi iletileri şifreleme olmadan TCP üzerinden syslog sunucusuna iletir. İstemci, sunucunun kimliğini doğrulamaz veya doğrulama için sunucuya kendi kimliğini sağlamaz.
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption
Önemli
Microsoft, bu yapılandırmayı üretim ortamlarında kullanmamanızı önerir.
UDP ile şifrelenmeden syslog iletimi
Bu yapılandırmada, Azure Yerel'deki syslog istemcisi iletileri şifreleme olmadan UDP üzerinden syslog sunucusuna iletir. İstemci, sunucunun kimliğini doğrulamaz veya doğrulama için sunucuya kendi kimliğini sağlamaz.
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP
Şifrelemesi olmayan UDP' nin yapılandırılması en kolayı olsa da, ortadaki adam saldırılarına veya iletileri dinlemeye karşı herhangi bir koruma sağlamaz.
Önemli
Microsoft, bu yapılandırmayı üretim ortamlarında kullanmamanızı önerir.
Syslog iletmeyi etkinleştirme
Syslog iletmeyi etkinleştirmek için aşağıdaki cmdlet'i çalıştırın:
Enable-AzSSyslogForwarder [-Force]
Syslog ileticisi, son başarılı Set-AzSSyslogForwarder çağrı tarafından sağlanan depolanmış yapılandırmayla etkinleştirilir. cmdlet'i kullanılarak Set-AzSSyslogForwarderyapılandırma sağlanmamışsa başarısız olur.
Syslog iletmeyi devre dışı bırakma
Syslog iletmeyi devre dışı bırakmak için aşağıdaki cmdlet'i çalıştırın:
Disable-AzSSyslogForwarder [-Force]
Enable-AzSSyslogForwarder ve Disable-AzSSyslogForwarder cmdlet'leri için parametre:
| Parametre | Açıklama | Tür | Zorunlu |
|---|---|---|---|
| Kuvvet | Belirtilirse, hedef durum geçerli durumla aynı olsa bile bir eylem planı her zaman tetiklenir. Bu, bant dışı değişiklikleri sıfırlamak için yararlı olabilir. | Bayrak | Hayır |
Syslog kurulumunu doğrulama
Syslog istemcisini syslog sunucunuza başarıyla bağladıktan sonra olay bildirimleri almaya başlarsınız. Bildirimleri görmüyorsanız aşağıdaki cmdlet'i çalıştırarak küme syslog ileticisi yapılandırmanızı doğrulayın:
Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster]
Her ana bilgisayarın, küme yapılandırmasının yerel bir kopyasını kullanan kendi syslog yönlendirme aracısı vardır. Bunların her zaman küme yapılandırmasıyla aynı olması beklenir. Aşağıdaki cmdlet'i kullanarak her konakta geçerli yapılandırmayı doğrulayabilirsiniz:
Get-AzSSyslogForwarder -PerNode
Bağlandığınız konakta yapılandırmayı doğrulamak için aşağıdaki cmdlet'i de kullanabilirsiniz:
Get-AzSSyslogForwarder -Local
Get-AzSSyslogForwarder cmdlet için cmdlet parametreleri:
| Parametre | Açıklama | Tür | Zorunlu |
|---|---|---|---|
| Yerel | Geçerli ana bilgisayarda şu anda kullanılan yapılandırmayı göster. | Bayrak | Hayır |
| PerNode | Her konakta şu anda kullanılan yapılandırmayı göster. | Bayrak | Hayır |
| Küme | Azure Yerel'de geçerli genel yapılandırmayı göster. Parametre sağlanmadığında, varsayılan davranış budur. | Bayrak | Hayır |
Syslog iletmeyi kaldırma
Syslog ileticisi yapılandırmasını kaldırmak ve syslog ileticisini durdurmak için aşağıdaki komutu çalıştırın:
Set-AzSSyslogForwarder -Remove
İleti şeması ve olay günlüğü referansı
Aşağıdaki başvuru malzemesi syslog ileti şemasını ve olay tanımlarını belgelemektedir.
- Syslog ileti şeması
- Ortak Olay biçimi yük şeması/tanımları
- Windows olay eşlemesi ve örnekleri
- Çeşitli olaylar
Azure Yerel altyapısının syslog ileticisi, RFC3164'de tanımlanan BSD syslog protokolünden sonra biçimlendirilmiş iletiler gönderir. CEF, syslog ileti yükünü biçimlendirmek için de kullanılır.
Her syslog iletisi şu şemaya göre yapılandırılmıştır: Öncelik (PRI) | Saat | Konak | CEF yükü |
PRI bölümü iki değer içerir: birim ve önem seviyesi. Her ikisi de Windows Olayı gibi çeşitli ileti türlerine bağlıdır.
Sonraki adımlar
Aşağıdakiler hakkında daha fazla bilgi edinin:
- Azure Yerel için güvenlik temeli ayarları.
- Azure Yerel için Windows Defender Uygulama Denetimi.
- Azure Yerel için BitLocker.