Condividi tramite

[Deprecato] Distribuire un server d'inoltro log per inserire i log Syslog e CEF in Microsoft Sentinel

  • Articolo

Importante

La raccolta di log da molti dispositivi e appliance è ora supportata da Common Event Format (CEF) tramite AMA, syslog tramite AMA o log personalizzati tramite il connettore dati AMA in Microsoft Sentinel. Per altre informazioni, vedere Trovare il connettore dati di Microsoft Sentinel.

Attenzione

Questo articolo fa riferimento a CentOS, una distribuzione Linux prossima allo stato EOL (End of Life, fine del servizio). Valutare le proprie esigenze e pianificare di conseguenza. Per ulteriori informazioni, consultare la Guida alla fine del ciclo di vita di CentOS.

Per inserire log Syslog e CEF in Microsoft Sentinel, in particolare da dispositivi e appliance in cui non è possibile installare direttamente l'agente di Log Analytics, è necessario designare e configurare un computer Linux che raccoglierà i log dai dispositivi e li invierà all'area di lavoro di Microsoft Sentinel. Può trattarsi di un computer fisico o di una macchina virtuale nell'ambiente locale, di una macchina virtuale di Azure o di una macchina virtuale in un altro cloud.

Questo computer include due componenti che intervengono in questo processo:

  • Un daemon syslog, rsyslog o syslog-ng, che raccoglie i log.
  • L'agente di Log Analytics (noto anche come agente OMS) che inoltra i log a Microsoft Sentinel.

Usando il collegamento fornito di seguito, si eseguirà uno script che esegue le attività seguenti nel computer designato:

  • Installa l'agente di Log Analytics per Linux (noto anche come agente OMS) e lo configura per gli scopi seguenti:

    • ascolto dei messaggi CEF dal daemon Syslog di Linux incorporato sulla porta TCP 25226
    • invio sicuro dei messaggi tramite TLS all'area di lavoro di Microsoft Sentinel, in cui vengono analizzati e arricchiti

  • Configura il daemon Syslog Linux predefinito (rsyslog.d/syslog-ng) ai fini seguenti:

    • ascolto dei messaggi Syslog dalle soluzioni di sicurezza sulla porta TCP 514
    • inoltro dei soli messaggi identificati come CEF all'agente di Log Analytics su localhost usando la porta TCP 25226

Importante

L'agente di Log Analytics verrà ritirato il 31 agosto 2024. Se si usa l'agente di Log Analytics nella distribuzione di Microsoft Sentinel, è consigliabile iniziare a pianificare la migrazione ad AMA. Per altre informazioni, vedere Migrazione dell'agente di Monitoraggio di Azure per Microsoft Sentinel.

Per informazioni sulla distribuzione di log SysLog e/o CEF con l'agente di Monitoraggio di Azure, vedere le opzioni per lo streaming dei log nel formato CEF e Syslog in Microsoft Sentinel.

Prerequisiti

Ogni connettore dati prevede un proprio insieme di prerequisiti. I prerequisiti possono includere la necessità di autorizzazioni specifiche per l'area di lavoro, la sottoscrizione o i criteri di Azure. Può anche essere necessario soddisfare altri requisiti per l'origine dati del partner a cui ci si connette.

I prerequisiti per ogni connettore dati sono elencati nella pagina del connettore dati pertinente in Microsoft Sentinel.

Installare la soluzione del prodotto dall'hub dei contenuti in Microsoft Sentinel. Se il prodotto non è incluso nell'elenco, installare la soluzione per Common Event Format. Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel.

Importante

Le versioni del sistema operativo possono avere date di supporto e ciclo di vita diverse. È consigliabile controllare la documentazione ufficiale di ogni distribuzione per informazioni più accurate e aggiornate sulle date di supporto e di fine del ciclo di vita.

Il computer deve soddisfare i requisiti seguenti:

  • Hardware (fisica/virtuale)

    • Il computer Linux deve avere almeno 4 core per la CPU e 8 GB di RAM.

      Nota

      • Un solo computer del server d'inoltro dei log con la configurazione hardware sopra descritta e che usa il daemon rsyslog ha una capacità supportata che consente di raccogliere un massimo di 8500 eventi al secondo.

  • Sistema operativo

    • Amazon Linux 2 (solo a 64 bit)
    • Oracle Linux 7, 8 (a 64 bit/32 bit)
    • Red Hat Enterprise Linux (RHEL) Server 7 e 8 (non 6), incluse le versioni secondarie (a 64 bit/32 bit)
    • Debian GNU/Linux 8 e 9 (a 64 bit/32 bit)
    • Ubuntu Linux 20.04 LTS (solo a 64 bit)
    • SUSE Linux Enterprise Server 12, 15 (solo a 64 bit)
    • Le distribuzioni di CentOS non sono più supportate, perché hanno raggiunto lo stato di fine del servizio (EOL). Vedere anche la nota all'inizio di questo articolo.

  • Versioni del daemon

    • Rsyslog: v8
    • Syslog-ng: 2.1 - 3.22.1

  • Pacchetti

    • Nel computer Linux deve essere installato Python 2.7 o 3.
      Usare il comando python --version o python3 --version per verificarlo.
    • È necessario il pacchetto GNU Wget.

  • Supporto di RFC per Syslog

    • RFC Syslog 3164
    • RFC Syslog 5424

  • Configurazione

    • È necessario disporre di autorizzazioni elevate (sudo) nel computer Linux designato.
    • Il computer Linux non deve essere connesso ad alcuna area di lavoro di Azure prima di installare l'agente di Log Analytics.

  • Dati

    • A un certo punto della procedura potrebbero essere necessari l'ID area di lavoro di Microsoft Sentinel e la chiave primaria dell'area di lavoro. È possibile trovarli nelle impostazioni dell'area di lavoro, in Gestione agenti.

Considerazioni sulla sicurezza

Assicurarsi di configurare la sicurezza del computer in base ai criteri di sicurezza dell'organizzazione. Ad esempio, è possibile configurare la rete in modo da allinearla ai criteri di sicurezza della rete aziendale e modificare le porte e i protocolli nel daemon in modo che siano allineati ai requisiti. È possibile usare le istruzioni seguenti per migliorare la configurazione di sicurezza del computer: Proteggere e usare i criteri nelle macchine virtuali in Azure, Procedure consigliate per la sicurezza di rete.

Se i dispositivi inviano log Syslog e CEF tramite TLS, perché, ad esempio, il server d'inoltro dei log si trova nel cloud, è necessario configurare il daemon syslog (rsyslog o syslog-ng) per comunicare in TLS. Per informazioni dettagliate, vedere la documentazione seguente:

Eseguire lo script di distribuzione

  1. In Microsoft Sentinel selezionare Connettori dati.

  2. Selezionare il connettore per il prodotto dalla raccolta connettori. Se il prodotto non è incluso nell'elenco, selezionare CEF (Common Event Format).

  3. Nel riquadro dei dettagli per il connettore selezionare Apri pagina connettore.

  4. Nella pagina del connettore, nelle istruzioni in 1.2 Installare l'agente di raccolta CEF nel computer Linuxcopiare il collegamento fornito in Esegui lo script seguente per installare e applicare l'agente di raccolta CEF.
    Se non si ha accesso a tale pagina, copiare il collegamento dal testo seguente (copiando e incollando l'ID area di lavoro e la chiave primaria sopra indicati in sostituzione dei segnaposto):

    sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [WorkspaceID] [Workspace Primary Key]

  5. Incollare il collegamento o il testo nella riga di comando nel server d'inoltro dei log ed eseguirlo.

  6. Durante l'esecuzione dello script, verificare di non ricevere messaggi di errore o di avviso.

    • È possibile che venga visualizzato un messaggio che indica di eseguire un comando per correggere un problema relativo al mapping del campo Computer. Per informazioni dettagliate, vedere la spiegazione nello script di distribuzione.

  7. Configurare il dispositivo per l'invio di messaggi CEF.

    Nota

    Uso dello stesso computer per inoltrare sia messaggi Syslog normali che messaggi CEF

    Se si prevede di usare questo computer del server d'inoltro dei log per inoltrare messaggi Syslog e CEF, per evitare la duplicazione degli eventi nelle tabelle Syslog e CommonSecurityLog:

    1. In ogni computer di origine che invia i log al server d'inoltro in formato CEF, è necessario modificare il file di configurazione di Syslog per rimuovere le funzionalità usate per l'invio di messaggi CEF. In questo modo, le funzionalità inviate in CEF non verranno inviate anche in Syslog. Per istruzioni dettagliate su come eseguire questa operazione, vedere Configurare Syslog sull’agente Linux.

    2. È necessario eseguire il comando seguente in tali computer per disabilitare la sincronizzazione dell'agente con la configurazione Syslog in Microsoft Sentinel. In questo modo si garantisce che la modifica di configurazione apportata nel passaggio precedente non venga sovrascritta.
      sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'

Spiegazione dello script di distribuzione

Di seguito è riportata una descrizione comando per comando delle azioni usate nello script di distribuzione.

Scegliere un daemon syslog per visualizzare la descrizione appropriata.

  1. Download e installazione dell'agente di Log Analytics:

    • Scarica lo script di installazione per l'agente Linux di Log Analytics (OMS).

      wget -O onboard_agent.sh https://raw.githubusercontent.com/Microsoft/OMS-Agent-for-Linux/
    master/installer/scripts/onboard_agent.sh

    • Installa l'agente di Log Analytics.

      sh onboard_agent.sh -w [workspaceID] -s [Primary Key] -d opinsights.azure.com

  2. Impostazione della configurazione dell'agente di Log Analytics per l'ascolto sulla porta 25226 e inoltro dei messaggi CEF a Microsoft Sentinel:

    • Scarica la configurazione dal repository GitHub dell'agente di Log Analytics.

      wget -O /etc/opt/microsoft/omsagent/[workspaceID]/conf/omsagent.d/security_events.conf
    https://raw.githubusercontent.com/microsoft/OMS-Agent-for-Linux/master/installer/conf/
    omsagent.d/security_events.conf

  3. Configurazione del daemon Syslog:

    • Apre la porta 514 per la comunicazione TCP usando il file di configurazione di syslog /etc/rsyslog.conf.

    • Configura il daemon per inoltrare i messaggi CEF all'agente di Log Analytics sulla porta TCP 25226 inserendo uno speciale file di configurazione security-config-omsagent.conf nella directory /etc/rsyslog.d/ del daemon syslog.

      Contenuto del file security-config-omsagent.conf:

      if $rawmsg contains "CEF:" or $rawmsg contains "ASA-" then @@127.0.0.1:25226

  4. Riavvio del daemon Syslog e dell'agente di Log Analytics:

    • Riavvia il daemon rsyslog.

      service rsyslog restart

    • Riavvia l'agente di Log Analytics.

      /opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  5. Verifica del mapping previsto del campo Computer:

    • Assicura che il campo Computer nell'origine di syslog sia associato correttamente nell'agente di Log Analytics usando il comando seguente:

      grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb

    • Se si verifica un problema con il mapping, lo script genererà un messaggio di errore che indica di eseguire manualmente il comando seguente (applicando l'ID area di lavoro in sostituzione del segnaposto). Il comando garantisce il mapping corretto e riavvia l'agente.

      sudo sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]

Passaggi successivi

In questo documento si è appreso come distribuire l'agente di Log Analytics per connettere appliance CEF a Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti: