Azure İzleyici Aracısı ile syslog ve CEF iletilerini Microsoft Sentinel'e alma

Makale
06/28/2024
Şunlara uygulanır:

Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Bu makalede, Syslog'un Linux makinelerinden, ağ ve güvenlik cihazlarından ve gereçlerinden, Ortak Olay Biçimindeki (CEF) iletiler de dahil olmak üzere syslog iletilerini hızla filtrelemek ve almak için AMA bağlayıcıları aracılığıyla AMA ve Ortak Olay Biçimi (CEF) aracılığıyla nasıl kullanılacağı açıklanmaktadır. Bu veri bağlayıcıları hakkında daha fazla bilgi edinmek için bkz . Microsoft Sentinel için AMA bağlayıcıları aracılığıyla Syslog ve Ortak Olay Biçimi (CEF).

Not

Container Insights artık AKS kümelerinizdeki Linux düğümlerinden syslog olaylarının otomatik olarak toplanmasını destekliyor. Daha fazla bilgi edinmek için bkz . Container Insights ile Syslog koleksiyonu.

Önkoşullar

Başlamadan önce, bu bölümde açıklandığı gibi yapılandırılmış kaynaklara ve uygun izinlere sahip olmanız gerekir.

Microsoft Sentinel önkoşulları

Uygun Microsoft Sentinel çözümünü yükleyin ve bu makaledeki adımları tamamlama izinlerine sahip olduğunuzdan emin olun.

Microsoft Sentinel'de İçerik hub'ından uygun çözümü yükleyin. Daha fazla bilgi için bkz . Microsoft Sentinel'in kullanıma hazır içeriğini bulma ve yönetme.
Microsoft Sentinel çözümünün hangi veri bağlayıcısını gerektirdiğini belirleyin: SYSlog via AMA veya Common Event Format (CEF) via AMA ile Syslog veya Common Event Format çözümünü yüklemeniz gerekip gerekmediğini belirleyin. Bu önkoşulu yerine getirmek için
- İçerik hub'ında, yüklü çözümde Yönet'i seçin ve listelenen veri bağlayıcısını gözden geçirin.
- Çözümde AMA aracılığıyla Syslog veya AMA aracılığıyla Ortak Olay Biçimi (CEF) yüklü değilse, aşağıdaki makalelerden birinden aletinizi veya cihazınızı bularak Syslog veya Ortak Olay Biçimi çözümünü yüklemeniz gerekip gerekmediğini belirleyin:
  - AMA veri bağlayıcısı aracılığıyla CEF - Microsoft Sentinel veri alımı için belirli bir aleti veya cihazı yapılandırma
  - AMA veri bağlayıcısı aracılığıyla Syslog - Microsoft Sentinel veri alımı için belirli bir aleti veya cihazı yapılandırma
  Ardından ilgili AMA veri bağlayıcısını almak için içerik hub'ından Syslog veya Ortak Olay Biçimi çözümünü yükleyin.

Aşağıdaki Azure rol tabanlı erişim denetimi (Azure RBAC) rollerine sahip bir Azure hesabı oluşturun:

Yerleşik rol	Kapsam	Nedeni
- Sanal Makine Katılımcısı - Azure Bağlı Makine Kaynak Yöneticisi	Sanal makineler (VM) Sanal Makine Ölçek Kümeleri Azure Arc özellikli sunucular	Aracıyı dağıtmak için
Eylemi içeren herhangi bir rol Microsoft.Resources/deployments/*	Abonelik Kaynak grubu Mevcut veri toplama kuralı	Azure Resource Manager şablonlarını dağıtmak için
İzleme Katkıda Bulunanı	Abonelik Kaynak grubu Mevcut veri toplama kuralı	Veri toplama kuralları oluşturmak veya düzenlemek için

Günlük ileticisi önkoşulları

Günlük ileticisinden ileti topluyorsanız aşağıdaki önkoşullar geçerlidir:

Günlükleri toplamak için günlük ileticisi olarak belirlenmiş bir Linux VM'niz olmalıdır.
- Azure portalında bir Linux VM oluşturun.
- Azure İzleyici Aracısı için desteklenen Linux işletim sistemleri.
Günlük ileticiniz bir Azure sanal makinesi değilse , üzerinde Azure Arc Connected Machine aracısının yüklü olması gerekir.
Linux günlük ileticisi VM'sinde Python 2.7 veya 3 yüklü olmalıdır. python --version Denetlemek için veya python3 --version komutunu kullanın. Python 3 kullanıyorsanız makinede varsayılan komut olarak ayarlandığından emin olun veya 'python' yerine 'python3' komutuyla betikleri çalıştırın.
Günlük ileticisinde syslog-ng veya rsyslog daemon etkinleştirilmelidir.
Günlük ileticinizin alan gereksinimleri için bkz . Azure İzleyici Aracısı Performans Karşılaştırması. Ölçeklenebilir alım tasarımlarını içeren bu blog gönderisini de gözden geçirebilirsiniz.
Günlük kaynaklarınız, güvenlik cihazlarınız ve gereçleriniz günlük iletilerini yerel syslog daemon'larına göndermek yerine günlük ileticisinin syslog daemon'larına gönderecek şekilde yapılandırılmalıdır.

Not

AMA'yı bir Sanal Makine Ölçek Kümesine (VMSS) dağıtırken, dağıtılan tüm örnekler arasında yük dağıtımı sağlamak için hepsini bir kez deneme yöntemini destekleyen bir yük dengeleyici kullanmanız kesinlikle tavsiye edilir.

Makine güvenliği önkoşulları

Makinenin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırın. Örneğin, ağınızı kurumsal ağ güvenlik ilkenizle uyumlu olacak şekilde yapılandırın ve daemon'daki bağlantı noktalarını ve protokolleri gereksinimlerinizle uyumlu olacak şekilde değiştirin. Makine güvenliği yapılandırmanızı geliştirmek için Azure'da VM'nizin güvenliğini sağlayın veya ağ güvenliği için bu en iyi yöntemleri gözden geçirin.

Örneğin günlük ileticiniz bulutta olduğundan cihazlarınız TLS üzerinden syslog ve CEF günlükleri gönderiyorsa syslog daemon'ını (rsyslog veya syslog-ng) TLS'de iletişim kuracak şekilde yapılandırmanız gerekir. Daha fazla bilgi için bkz.

Veri bağlayıcıyı yapılandırma

Syslog için AMA aracılığıyla kurulum işlemi veya AMA veri bağlayıcıları aracılığıyla Ortak Olay Biçimi (CEF) aşağıdaki adımları içerir:

Azure İzleyici Aracısı'nı yükleyin ve aşağıdaki yöntemlerden birini kullanarak bir Veri Toplama Kuralı (DCR) oluşturun:
- Azure veya Defender portalı
- Azure İzleyici Günlükleri Alma API'si
Günlük ileticisi kullanarak diğer makinelerden günlük topluyorsanız, syslog daemon'ını diğer makinelerden gelen iletileri dinleyecek şekilde yapılandırmak ve gerekli yerel bağlantı noktalarını açmak için günlük ileticisinde "yükleme" betiğini çalıştırın.

Yönergeler için uygun sekmeyi seçin.

Azure veya Defender portalı
Günlük Alımı API'si

Veri toplama kuralı oluşturma (DCR)

Başlamak için, Microsoft Sentinel'de AMA aracılığıyla Syslog'u veya AMA veri bağlayıcısı aracılığıyla Ortak Olay Biçimi'ni (CEF) açın ve bir veri toplama kuralı (DCR) oluşturun.

Azure portalında Microsoft Sentinel için Yapılandırma'nın altında Veri bağlayıcıları'nı seçin.
Defender portalında Microsoft Sentinel için Microsoft Sentinel>Yapılandırma>Verileri bağlayıcıları'nı seçin.
syslog için, Arama kutusuna Syslog yazın. Sonuçlardan Ama aracılığıyla Syslog bağlayıcısını seçin.
CEF için Arama kutusuna CEF yazın. Sonuçlardan AMA bağlayıcısı aracılığıyla Ortak Olay Biçimi 'ni (CEF) seçin.
Ayrıntılar bölmesinde Bağlayıcı sayfasını aç'ı seçin.
Yapılandırma alanında +Veri toplama kuralı oluştur'u seçin.
Temel sekmesinde:
- Bir DCR adı yazın.
- Aboneliğinizi seçin.
- DCR'nizi bulmak istediğiniz kaynak grubunu seçin.
İleri: Kaynaklar'ı >seçin.

VM kaynaklarını tanımlama

Kaynaklar sekmesinde, AMA'yı yüklemek istediğiniz makineleri (bu örnekte günlük ileticisi makinenizi) seçin. Günlük ileticiniz listede görünmüyorsa, Azure Bağlı Makine aracısı yüklü olmayabilir.

Günlük ileticisi VM'nizi bulmak için kullanılabilir filtreleri veya arama kutusunu kullanın. Kaynak gruplarını görmek için listedeki bir aboneliği ve vm'lerini görmek için bir kaynak grubunu genişletin.
AMA'yi yüklemek istediğiniz günlük ileticisi VM'sini seçin. Üzerine geldiğinizde VM adının yanında onay kutusu görüntülenir.
Değişikliklerinizi gözden geçirin ve İleri: Topla'ya >tıklayın.

Tesisleri ve önem derecelerini seçin

Hem syslog hem de CEF iletileri için aynı özelliğin kullanılmasının veri alımı yinelemesine neden olabileceğini unutmayın. Daha fazla bilgi için bkz . Veri alımı yinelemesi önleme.

Topla sekmesinde her tesis için en düşük günlük düzeyini seçin. Bir günlük düzeyi seçtiğinizde, Microsoft Sentinel seçilen düzey ve daha yüksek önem derecesine sahip diğer düzeyler için günlükleri toplar. Örneğin, LOG_ERR seçerseniz Microsoft Sentinel LOG_ERR, LOG_CRIT, LOG_ALERT ve LOG_EMERG düzeyleri için günlükleri toplar.
Seçimlerinizi gözden geçirin ve İleri: Gözden geçir + oluştur'u seçin.

Kuralı gözden geçirme ve oluşturma

Tüm sekmeleri tamamladıktan sonra, girdiğiniz bilgileri gözden geçirin ve veri toplama kuralını oluşturun.

Gözden geçir ve oluştur sekmesinde Oluştur'u seçin.

Bağlayıcı, DCR'nizi oluştururken seçtiğiniz makinelere Azure İzleyici Aracısı'nı yükler.
DCR'nin ne zaman oluşturulduğunu ve aracının ne zaman yüklendiğini görmek için Azure portalında veya Microsoft Defender portalında bildirimleri denetleyin.
Listede görüntülenen DCR'yi görmek için bağlayıcı sayfasında Yenile'yi seçin.

Azure İzleyici Aracısını Yükleme

Azure İzleyici belgelerinden uygun yönergeleri izleyerek Azure İzleyici Aracısını günlük ileticinize yükleyin. Windows için değil Linux yönergelerini kullanmayı unutmayın.

Azure İzleyici Günlükleri Alma API'sini kullanarak Veri Toplama Kuralları (DCR) oluşturabilirsiniz. Daha fazla bilgi için bkz . Azure İzleyici'de veri toplama kuralları.

Veri toplama kuralını oluşturma

Veri toplama kuralı için bir JSON dosyası oluşturun, bir API isteği oluşturun ve isteği gönderin.

JSON biçiminde bir DCR dosyası hazırlayın. Bu dosyanın içeriği API isteğinizdeki istek gövdesidir.

Örnek için bkz . Syslog/CEF DCR oluşturma isteği gövdesi. Syslog ve CEF iletilerini aynı veri toplama kuralında toplamak için aynı DCR'deki Syslog ve CEF akışları örneğine bakın.
- streams Alanın syslog iletileri için veya Microsoft-CommonSecurityLog CEF iletileri için olarak ayarlandığını Microsoft-Syslog doğrulayın.
- ve logLevels parametrelerine filtre ve tesis günlüğü düzeylerini facilityNames ekleyin. Bkz . Tesis örnekleri ve günlük düzeyleri bölümleri.
Seçtiğiniz bir REST API istemcisinde API isteği oluşturun.
1. İstek URL'si ve üst bilgisi için aşağıdaki istek URL'sini ve üst bilgisini kopyalayın.
```
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2022-06-01
```
  - ve {resourceGroupName} yer tutucuları için {subscriptionId} uygun değerleri değiştirin.
  - Yer tutucu yerine DCR {dataCollectionRuleName} için seçtiğiniz bir ad girin.
2. İstek gövdesi için, oluşturduğunuz (yukarıdaki 1. adımda) DCR JSON dosyasının içeriğini kopyalayıp istek gövdesine yapıştırın.
İsteği gönderin.

Almanız gereken yanıt örneği için bkz . Syslog/CEF DCR oluşturma yanıtı.

DCR'yi günlük ileticisi ile ilişkilendirme

Şimdi DCR'yi günlük ileticinizi barındıran VM kaynağına bağlayan bir DCR İlişkilendirmesi (DCRA) oluşturmanız gerekir.

Seçtiğiniz bir REST API istemcisinde API isteği oluşturun.
İstek URL'si ve üst bilgisi için aşağıdaki istek URL'sini ve üst bilgiyi kopyalayın.
```
PUT 
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{virtualMachineName}/providers/Microsoft.Insights/dataCollectionRuleAssociations/{dataCollectionRuleAssociationName}?api-version=2022-06-01
```
- , {resourceGroupName}ve {virtualMachineName} yer tutucuları için {subscriptionId}uygun değerleri değiştirin.
- Yer tutucu yerine DCR {dataCollectionRuleAssociationName} için seçtiğiniz bir ad girin.
İstek gövdesi için aşağıdaki istek gövdesini kopyalayın.
```
{
  "properties": {
    "dataCollectionRuleId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}"
  }
}
```
- ve {resourceGroupName} yer tutucuları için {subscriptionId} uygun değerleri değiştirin.
- Yer tutucu yerine DCR {dataCollectionRuleName} için seçtiğiniz bir ad girin.
İsteği gönderin.

Tesisler ve günlük düzeyleri bölümlerine örnekler

Tesis ve günlük düzeyleri ayarlarının bu örneklerini gözden geçirin. Alanı name filtre adını içerir.

CEF ileti alımı için "streams" değeri yerine "Microsoft-Syslog"olmalıdır"Microsoft-CommonSecurityLog".

Bu örnek , , , local0ve tesislerinden cron, ve uucpEmergency günlük düzeyleriyle WarningAlertErrorCriticalolayları toplar: local3daemon

    "dataSources": {
      "syslog": [
        {
        "name": "SyslogStream0",
        "streams": [
          "Microsoft-Syslog"
        ],
        "facilityNames": [ 
          "cron",
          "daemon",
          "local0",
          "local3", 
          "uucp"
        ],
        "logLevels": [ 
          "Warning", 
          "Error", 
          "Critical", 
          "Alert", 
          "Emergency"
        ]
      }
    ]
  }

Aynı DCR'de Syslog ve CEF akışları

Bu örnek, syslog ve CEF iletilerini aynı DCR'de nasıl toplayabileceğinizi gösterir.

DCR aşağıdakiler için CEF olay iletilerini toplar:

, , , , WarningError, Critical, Alertve günlük düzeylerine sahip Infove Emergency tesisleri Noticemarkauthpriv
daemon, , Error, CriticalAlertve Emergency günlük düzeylerine sahip Warningtesis

Aşağıdakiler için syslog olay iletilerini toplar:

kern, local0, local5ve news günlük düzeylerine sahip Critical, , Alertve Emergency tesisleri
mail Günlük düzeyine Emergency sahip ve uucp tesisleri

    "dataSources": {
      "syslog": [
        {
          "name": "CEFStream1",
          "streams": [ 
            "Microsoft-CommonSecurityLog"
          ],
          "facilityNames": [ 
            "authpriv", 
            "mark"
          ],
          "logLevels": [
            "Info",
            "Notice", 
            "Warning", 
            "Error", 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "CEFStream2",
          "streams": [ 
            "Microsoft-CommonSecurityLog"
          ],
          "facilityNames": [ 
            "daemon"
          ],
          "logLevels": [ 
            "Warning", 
            "Error", 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "SyslogStream3",
          "streams": [ 
            "Microsoft-Syslog"
          ],
          "facilityNames": [ 
            "kern",
            "local0",
            "local5", 
            "news"
          ],
          "logLevels": [ 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "SyslogStream4",
          "streams": [ 
            "Microsoft-Syslog"
          ],
          "facilityNames": [ 
            "mail",
            "uucp"
          ],
          "logLevels": [ 
            "Emergency"
          ]
        }
      ]
    }

"Yükleme" betiğini çalıştırma

Günlük ileticisi kullanıyorsanız syslog daemon'ını diğer makinelerden gelen iletileri dinleyecek şekilde yapılandırın ve gerekli yerel bağlantı noktalarını açın.

BAĞLAYıCı sayfasında, CEF toplayıcısını yüklemek ve uygulamak için Aşağıdaki komutu çalıştırın altında görüntülenen komut satırını kopyalayın:

Bağlayıcı sayfasındaki komut satırının ekran görüntüsü.

Veya buradan kopyalayın:

sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python Forwarder_AMA_installer.py

AMA'yi yüklediğiniz günlük ileticisi makinesinde oturum açın.
Yükleme betiğini başlatmak için son adımda kopyaladığınız komutu yapıştırın.
Betik, veya syslog-ng daemon'unu gerekli protokolü kullanacak şekilde yapılandırıp rsyslog daemon'ı yeniden başlatır. Betik, hem UDP hem de TCP protokollerinde gelen iletileri dinlemek için 514 numaralı bağlantı noktasını açar. Bu ayarı değiştirmek için, makinede çalışan daemon türüne göre syslog daemon yapılandırma dosyasına bakın:
- Rsyslog: /etc/rsyslog.conf
- Syslog-ng: /etc/syslog-ng/syslog-ng.conf
Python 3 kullanıyorsanız ve makinede varsayılan komut olarak ayarlanmamışsa, python3python yerine yapıştırılan komutu yazın. Bkz . Günlük ileticisi önkoşulları.

Not

Aracının çalışmadığı Tam Disk senaryolarından kaçınmak için veya rsyslog yapılandırmasını gereksiz günlükleri depolamak üzere ayarlamanızı syslog-ng öneririz. Tam Disk senaryosu, yüklü AMA işlevini kesintiye uğratır. Daha fazla bilgi için bkz . RSyslog veya Syslog-ng.

Güvenlik cihazını veya aleti yapılandırma

Aşağıdaki makalelerden birine giderek güvenlik cihazınızı veya aletinizi yapılandırmaya ilişkin belirli yönergeleri alın:

Daha fazla bilgi için veya alet veya cihaz için bilgilerin kullanılamadığı durumlarda çözüm sağlayıcısına başvurun.

Bağlayıcıyı test etme

Linux makinenizden veya güvenlik cihazlarınızdan ve gereçlerinden gelen günlük iletilerinin Microsoft Sentinel'e alındığını doğrulayın.

Syslog daemon'unun UDP bağlantı noktasında çalıştığını ve AMA'nın dinlediğini doğrulamak için şu komutu çalıştırın:
```
netstat -lnptv
```
514 numaralı bağlantı noktasında veya syslog-ng daemon'un dinlediğini görmeniz rsyslog gerekir.
Günlükçüden veya bağlı bir cihazdan gönderilen iletileri yakalamak için arka planda şu komutu çalıştırın:
```
tcpdump -i any port 514 -A -vv &
```
Doğrulamayı tamamladıktan sonra şunu durdurmanızı tcpdumpöneririz: Yazın fg ve ardından Ctrl C'yi+ seçin.
Tanıtım iletileri göndermek için aşağıdaki adımları tamamlayın:
- netcat yardımcı programını kullanın. Bu örnekte yardımcı program, komut aracılığıyla echo gönderilen verileri yeni satır anahtarı kapalı olarak okur. Yardımcı program daha sonra verileri zaman aşımı olmadan localhost üzerindeki UDP bağlantı noktasına 514 yazar. netcat yardımcı programını yürütmek için başka bir paket yüklemeniz gerekebilir.
```
echo -n "<164>CEF:0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time" | nc -u -w0 localhost 514
```
- Günlükçü'leri kullanın. Bu örnek, iletiyi local 4 yerel konakta, CEF RFC biçimindeki bağlantı noktasına 514önem düzeyinde Warningtesise yazar. -t ve --rfc3164 bayrakları beklenen RFC biçimine uymak için kullanılır.
```
logger -p local4.warn -P 514 -n 127.0.0.1 --rfc3164 -t CEF "0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time"
```

Bağlayıcının doğru yüklendiğini doğrulamak için aşağıdaki komutlardan biriyle sorun giderme betiğini çalıştırın:

CEF günlükleri için şunu çalıştırın:

 sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --cef

Cisco Adaptive Security Appliance (ASA) günlükleri için şunu çalıştırın:

sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --asa

Cisco Firepower Threat Defense (FTD) günlükleri için şunu çalıştırın:

sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --ftd

Aracılığıyla paylaş

Azure İzleyici Aracısı ile syslog ve CEF iletilerini Microsoft Sentinel'e alma

Önkoşullar

Microsoft Sentinel önkoşulları

Günlük ileticisi önkoşulları

Makine güvenliği önkoşulları

Veri bağlayıcıyı yapılandırma

Veri toplama kuralı oluşturma (DCR)

VM kaynaklarını tanımlama

Tesisleri ve önem derecelerini seçin

Kuralı gözden geçirme ve oluşturma

Azure İzleyici Aracısını Yükleme

Veri toplama kuralını oluşturma

DCR'yi günlük ileticisi ile ilişkilendirme

Tesisler ve günlük düzeyleri bölümlerine örnekler

Aynı DCR'de Syslog ve CEF akışları

"Yükleme" betiğini çalıştırma

Güvenlik cihazını veya aleti yapılandırma

Bağlayıcıyı test etme

Geri Bildirim

Ek kaynaklar

Aracılığıyla paylaş

Azure İzleyici Aracısı ile syslog ve CEF iletilerini Microsoft Sentinel'e alma

Önkoşullar

Microsoft Sentinel önkoşulları

Günlük ileticisi önkoşulları

Makine güvenliği önkoşulları

Veri bağlayıcıyı yapılandırma

Veri toplama kuralı oluşturma (DCR)

VM kaynaklarını tanımlama

Tesisleri ve önem derecelerini seçin

Kuralı gözden geçirme ve oluşturma

"Yükleme" betiğini çalıştırma

Güvenlik cihazını veya aleti yapılandırma

Bağlayıcıyı test etme

İlgili içerik

Geri Bildirim

Ek kaynaklar