Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Syslog via AMA en Cef (Common Event Format) via AMA-gegevensconnectors voor Microsoft Sentinel Syslog-berichten filteren en opnemen, inclusief berichten in Common Event Format (CEF), van Linux machines en van netwerk- en beveiligingsapparaten en -apparaten. Met deze connectors wordt de Azure Monitor Agent (AMA) geïnstalleerd op een Linux computer van waaruit u Syslog- en/of CEF-berichten wilt verzamelen. Deze computer kan de afzender van de berichten zijn of een doorstuurserver die berichten verzamelt van andere computers, zoals netwerk- of beveiligingsapparaten en -apparaten. De connector verzendt de agents-instructies op basis van gegevensverzamelingsregels (DCR's) die u definieert. DCR's specificeren de systemen die moeten worden bewaakt en de typen logboeken of berichten die moeten worden verzameld. Ze definiëren filters die moeten worden toegepast op de berichten voordat ze worden opgenomen, voor betere prestaties en efficiëntere query's en analyses.
Syslog en CEF zijn twee veelgebruikte indelingen voor het vastleggen van gegevens van verschillende apparaten en toepassingen. Ze helpen systeembeheerders en beveiligingsanalisten bij het bewaken en oplossen van problemen met het netwerk en het identificeren van mogelijke bedreigingen of incidenten.
Wat is Syslog?
Syslog is een standaardprotocol voor het verzenden en ontvangen van berichten tussen verschillende apparaten of toepassingen via een netwerk. Het is oorspronkelijk ontwikkeld voor Unix-systemen, maar wordt nu breed ondersteund door verschillende platforms en leveranciers. Syslog-berichten hebben een vooraf gedefinieerde structuur die bestaat uit een prioriteit, een tijdstempel, een hostnaam, een toepassingsnaam, een proces-id en een berichttekst. Syslog-berichten kunnen worden verzonden via UDP, TCP of TLS, afhankelijk van de configuratie en de beveiligingsvereisten.
De Azure Monitor Agent (AMA) ondersteunt Syslog-berichten die zijn opgemaakt volgens RFC 3164 (BSD Syslog) en RFC 5424 (IETF Syslog).
Wat is Common Event Format (CEF)?
CEF, of Common Event Format, is een leverancierneutrale indeling voor het vastleggen van gegevens van netwerk- en beveiligingsapparaten en -apparaten, zoals firewalls, routers, detectie- en responsoplossingen en inbraakdetectiesystemen, evenals van andere soorten systemen, zoals webservers. Een uitbreiding van Syslog, het is speciaal ontwikkeld voor SIEM-oplossingen (Security Information and Event Management). CEF-berichten hebben een standaardheader met informatie over de leverancier van het apparaat, het apparaatproduct, de apparaatversie, de gebeurtenisklasse, de ernst van de gebeurtenis en de gebeurtenis-id. CEF-berichten hebben ook een variabel aantal extensies die meer informatie over de gebeurtenis bieden, zoals de bron- en doel-IP-adressen, de gebruikersnaam, de bestandsnaam of de uitgevoerde actie.
Verzameling van Syslog- en CEF-berichten met AMA
De volgende diagrammen illustreren de architectuur van syslog- en CEF-berichtenverzameling in Microsoft Sentinel, met behulp van de Syslog via AMA en Cef (Common Event Format) via AMA-connectors.
In dit diagram ziet u Syslog-berichten die worden verzameld van één afzonderlijke Linux virtuele machine, waarop de Azure Monitor Agent (AMA) is geïnstalleerd.
Het gegevensopnameproces met behulp van de Azure Monitor-agent maakt gebruik van de volgende onderdelen en gegevensstromen:
Logboekbronnen zijn uw verschillende Linux VM's in uw omgeving die Syslog-berichten produceren. Deze berichten worden verzameld door de lokale Syslog-daemon op TCP- of UDP-poort 514 (of een andere poort naar uw voorkeur).
De lokale Syslog-daemon (of
rsyslogsyslog-ng) verzamelt de logboekberichten op TCP- of UDP-poort 514 (of een andere poort volgens uw voorkeur). De daemon verzendt deze logboeken vervolgens op twee verschillende manieren naar de Azure Monitor Agent, afhankelijk van de AMA-versie:- AMA-versies 1.28.11 en hoger ontvangen logboeken op TCP-poort 28330.
- Eerdere versies van AMA ontvangen logboeken via Unix-domeinsockets.
Als u een andere poort dan 514 wilt gebruiken voor het ontvangen van Syslog-/CEF-berichten, moet u ervoor zorgen dat de poortconfiguratie op de Syslog-daemon overeenkomt met die van de toepassing die de berichten genereert.
De Azure Monitor Agent die u installeert op elke Linux VM waaruit u Syslog-berichten wilt verzamelen, door de gegevensconnector in te stellen. De agent parseert de logboeken en verzendt ze vervolgens naar uw Microsoft Sentinel werkruimte (Log Analytics).
Uw Microsoft Sentinel werkruimte (Log Analytics): Syslog-berichten die hier worden verzonden, komen terecht in de Syslog-tabel, waar u de logboeken kunt opvragen en er analyses op kunt uitvoeren om beveiligingsrisico's te detecteren en erop te reageren.
Opmerking
Bij het opnemen van syslog-gegevens met behulp van een logboekdoorstuurserver en Azure Monitor Agent (AMA), kunnen inconsistenties optreden tussen de TimeGenerated velden enEventTime.
- TimeGenerated geeft de UTC-tijd weer waarop het syslog-bericht is verwerkt door de computer die als host fungeert voor de logboeken forwarder of collector.
- EventTime wordt geëxtraheerd uit de syslog-header, die geen tijdzone-informatie bevat en wordt geconverteerd naar UTC met behulp van de verschuiving van de lokale tijdzone van de doorstuurserver/collector.
Dit kan leiden tot verschillen tussen de twee velden wanneer de doorstuurserver/collector en het apparaat dat het logboek genereert zich in verschillende tijdzones bevinden.
Installatieproces voor het verzamelen van logboekberichten
Installeer vanuit de hub Inhoud in Microsoft Sentinel de juiste oplossing voor Syslog of Common Event Format. In deze stap worden de respectieve gegevensconnectors Syslog geïnstalleerd via AMA of CEF (Common Event Format) via AMA-gegevensconnector. Zie Out-of-the-Box-inhoud van Microsoft Sentinel detecteren en beheren voor meer informatie.
Als onderdeel van het installatieproces maakt u een regel voor gegevensverzameling en installeert u de Azure Monitor Agent (AMA) op de logboek doorstuurserver. Voer deze taken uit met behulp van de Azure- of Microsoft Defender-portal of met behulp van de Azure Opname-API voor logboeken bewaken.
Wanneer u de gegevensconnector voor de Microsoft Sentinel configureert in de Azure- of Microsoft Defender-portal, kunt u DDR's per werkruimte maken, beheren en verwijderen. De AMA wordt automatisch geïnstalleerd op de VM's die u selecteert in de connectorconfiguratie.
U kunt ook HTTP-aanvragen verzenden naar de Logboekopname-API. Met deze installatie kunt u DDR's maken, beheren en verwijderen. Deze optie is flexibeler dan de portal. Met de API kunt u bijvoorbeeld filteren op specifieke logboekniveaus. In de Azure of Defender-portal kunt u alleen een minimaal logboekniveau selecteren. Het nadeel van het gebruik van deze methode is dat u de Azure Monitor Agent handmatig op de logboek doorstuurserver moet installeren voordat u een DCR maakt.
Nadat u de DCR hebt gemaakt en AMA is geïnstalleerd, voert u het script 'installatie' uit op de logboekdoorstuurserver. Met dit script configureert u de Syslog-daemon om te luisteren naar berichten van andere computers en om de benodigde lokale poorten te openen. Configureer vervolgens de beveiligingsapparaten of -apparaten indien nodig.
Zie de volgende artikelen voor meer informatie:
- Syslog- en CEF-berichten opnemen om te Microsoft Sentinel met de Azure Monitor-agent
- CEF via AMA-gegevensconnector - Specifiek apparaat of apparaat configureren voor Microsoft Sentinel gegevensopname
- Syslog via AMA-gegevensconnector - Specifiek apparaat of apparaat configureren voor Microsoft Sentinel gegevensopname
Duplicatie van gegevensopname vermijden
Het gebruik van dezelfde faciliteit voor zowel Syslog- als CEF-berichten kan leiden tot duplicatie van gegevensopname tussen de tabellen CommonSecurityLog en Syslog.
Gebruik een van de volgende methoden om dit scenario te voorkomen:
Als het bronapparaat configuratie van de doelfaciliteit mogelijk maakt: Bewerk het Syslog-configuratiebestand op elke broncomputer die logboeken verzendt naar de logboeken doorstuurserver in CEF-indeling om de faciliteiten te verwijderen die worden gebruikt voor het verzenden van CEF-berichten. Op deze manier worden de faciliteiten die in CEF worden verzonden niet ook verzonden in Syslog. Zorg ervoor dat elke DCR die u configureert, gebruikmaakt van de relevante faciliteit voor respectievelijk CEF of Syslog.
Als u een voorbeeld wilt zien van het rangschikken van een DCR om zowel Syslog- als CEF-berichten van dezelfde agent op te nemen, gaat u naar Syslog- en CEF-streams in dezelfde DCR.
Als het wijzigen van de faciliteit voor het bronapparaat niet van toepassing is: nadat u de DCR hebt gemaakt, voegt u opnametijdtransformatie toe om CEF-berichten uit de Syslog-stroom te filteren om duplicatie te voorkomen. Zie Zelfstudie: Een regel voor gegevensverzameling (DCR) bewerken. Voeg KQL-transformatie toe zoals in het volgende voorbeeld:
"transformKql": " source\n | where ProcessName !contains \"CEF\"\n"