Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Die Protokollsammlung aus vielen Appliances und Geräten wird jetzt vom Common Event Format (CEF) über AMA, Syslog über AMA oder benutzerdefinierte Protokolle über den AMA-Datenconnector in Microsoft Sentinel unterstützt. Weitere Informationen finden Sie unter Suchen Ihres Microsoft Sentinel-Datenconnectors.
Viele Netzwerk- und Sicherheitsgeräte und -Appliances senden ihre Systemprotokolle über das Syslog-Protokoll in einem speziellen Format, das als Common Event Format (CEF) bezeichnet wird. Dieses Format enthält mehr Informationen als das Syslog-Standardformat und stellt diese in einer analysierten Schlüssel-Wert-Anordnung dar. Der Log Analytics-Agent akzeptiert CEF-Protokolle und formatiert sie speziell für die Verwendung mit Microsoft Sentinel, bevor er sie an Ihren Microsoft Sentinel-Arbeitsbereich weiterleitet.
Erfahren Sie, wie Sie Syslog mit dem AMA erfassen, einschließlich der Konfiguration von Syslog und Erstellung eines DCR.
Wichtig
Bevorstehende Änderungen:
- Am 28. Februar 2023 wurden Änderungen am CommonSecurityLog-Tabellenschema eingeführt.
- Nach dieser Änderung müssen Sie möglicherweise benutzerdefinierte Abfragen überprüfen und aktualisieren. Weitere Informationen finden Sie im Abschnitt empfohlene Aktionen in diesem Blogbeitrag. Inhalte, die sofort einsatzbereit sind (Erkennungen, Suchabfragen, Arbeitsmappen, Parser usw.), wurden von Microsoft Sentinel aktualisiert.
- Daten, die vor der Änderung gestreamt und erfasst wurden, sind weiterhin in den früheren Spalten und Formaten verfügbar. Alte Spalten bleiben daher im Schema erhalten.
- Am 31. August 2024 wird der Log Analytics-Agent außer Betrieb genommen. Wenn Sie den Log Analytics-Agent in Ihrer Microsoft Sentinel-Bereitstellung verwenden, empfehlen wir, mit der Planung Ihrer Migration zum AMA zu beginnen. Optionen für das Streamen von Protokollen im CEF- und Syslog-Format an Microsoft Sentinel überprüfen.
In diesem Artikel wird beschrieben, wie Sie Protokolle im CEF-Format verwenden, um eine Verbindung mit Ihren Datenquellen herzustellen. Informationen zu Daten-Connectors, die diese Methode verwenden, finden Sie unter Microsoft Sentinel-Daten-Connectors-Referenz.
Es gibt zwei Hauptschritte zum Herstellen dieser Verbindung, die im Folgenden ausführlich erläutert werden:
Sie müssen einen Linux-Computer oder einen virtuellen Computer als dedizierte Protokollweiterleitung bestimmen, den Log Analytics-Agent darauf installieren und den Agent so konfigurieren, dass die Protokolle an Ihren Microsoft Sentinel-Arbeitsbereich weitergeleitet werden. Die Installation und Konfiguration des Agents werden von einem Bereitstellungsskript verarbeitet.
Sie konfigurieren Ihr Gerät so, dass es seine Protokolle im CEF-Format an einen Syslog-Server sendet.
Hinweis
Daten werden am geografischen Standort des Arbeitsbereichs gespeichert, in dem Sie Microsoft Sentinel ausführen.
Unterstützte Architekturen
Die folgende Abbildung beschreibt die Einrichtung mit einer Linux-VM in Azure:
Alternativ verwenden Sie das folgende Setup, wenn Sie eine VM in einer anderen Cloud oder auf einem lokalen Computer verwenden:
Voraussetzungen
Für das Erfassen von CEF-Daten in Log Analytics wird ein Microsoft Sentinel-Arbeitsbereich benötigt.
Sie müssen über Lese- und Schreibberechtigungen für diesen Arbeitsbereich verfügen.
Sie müssen über Leseberechtigungen für die freigegebenen Schlüssel für den Arbeitsbereich verfügen. Weitere Informationen zu Arbeitsbereichsschlüsseln
Festlegen einer Protokollweiterleitung und Installieren des Log Analytics-Agents
In diesem Abschnitt wird beschrieben, wie Sie den Linux-Computer bestimmen und konfigurieren, der die Protokolle von Ihrem Gerät an Ihren Microsoft Sentinel-Arbeitsbereich weiterleiten soll.
Bei Ihrem Linux-Computer kann es sich um einen physischen oder virtuellen Computer in Ihrer lokalen Umgebung, eine Azure-VM oder eine VM in einer anderen Cloud handeln.
Verwenden Sie den Link auf der CEF-Datenconnector-Seite (Common Event Format), um ein Skript auf dem dedizierten Gerät auszuführen und folgende Aufgaben durchzuführen:
Installiert den Log Analytics-Agent für Linux (auch als OMS-Agent bezeichnet) und konfiguriert ihn für die folgenden Zwecke:
- Empfangen von CEF-Nachrichten vom integrierten Linux-Syslog-Daemon auf TCP-Port 25226
- Sicheres Senden der Nachrichten über TLS an Ihren Microsoft Sentinel-Arbeitsbereich, wo sie analysiert und ergänzt werden
Konfiguriert den integrierten Linux-Syslog-Daemon (rsyslog.d/syslog-ng) für die folgenden Zwecke:
- Hören auf Syslog-Nachrichten von Ihren Sicherheitslösungen auf TCP-Port 514
- Nur die Nachrichten, die als CEF identifiziert wurden, an den Log Analytics-Agent auf localhost weiterleiten, über TCP-Port 25226.
Weitere Informationen finden Sie unter Bereitstellung einer Protokollweiterleitung zum Erfassen von Syslog- und CEF-Protokollen in Microsoft Sentinel.
Sicherheitshinweise
Stellen Sie sicher, dass Sie die Sicherheit des Computers gemäß der Sicherheitsrichtlinie Ihrer Organisation konfigurieren. Beispielsweise können Sie das Netzwerk so konfigurieren, dass es der Sicherheitsrichtlinie für das Unternehmensnetzwerk entspricht, und die Ports und Protokolle im Daemon Ihren Anforderungen entsprechend ändern.
Weitere Informationen finden Sie unter Sichern einer VM in Azure und Bewährte Methoden für die Netzwerksicherheit.
Wenn Ihre Geräte Syslog- und CEF-Protokolle über TLS senden (z. B. wenn sich Ihre Protokollweiterleitung in der Cloud befindet), müssen Sie den Syslog-Daemon (rsyslog oder syslog-ng) so konfigurieren, dass er über TLS kommuniziert.
Weitere Informationen finden Sie unter:
- Verschlüsselung des Syslog-Datenverkehrs mit TLS – rsyslog
- Verschlüsselung von Protokollnachrichten mit TLS – syslog-ng
Konfigurieren Ihres Geräts
Suchen Sie nach den Konfigurationsanweisungen Ihres Geräteanbieters zum Senden von Protokollen im CEF-Format an einen SIEM- oder Protokollserver, und befolgen Sie diese.
Wenn Ihr Produkt in der Daten-Connector-Galerie angezeigt wird, können Sie die Microsoft Sentinel-Daten-Connector-Referenz konsultieren, um Unterstützung zu erhalten. Die Konfigurationsanweisungen sollten die Einstellungen aus der unten stehenden Liste enthalten.
- Protokoll = TCP
- Port = 514
- Format = CEF
- IP-Adresse: Achten Sie darauf, die CEF-Nachrichten an die IP-Adresse des virtuellen Computers zu senden, den Sie für diesen Zweck reserviert haben.
Diese Lösung unterstützt Syslog RFC 3164 und RFC 5424.
Tipp
Definieren Sie bei Bedarf ein anderes Protokoll oder eine andere Portnummer auf Ihrem Gerät, solange Sie auch dieselben Änderungen am Syslog-Daemon auf der Protokollweiterleitung vornehmen.
Suchen von Daten
Nach Herstellung der Verbindung kann es bis zu 20 Minuten dauern, bis Daten in Log Analytics angezeigt werden.
Um in Log Analytics nach CEF-Ereignissen zu suchen, nutzen Sie die Tabelle CommonSecurityLog im Abfragefenster.
Einige Einträge in der Datenconnector-Galerie erfordern die Nutzung zusätzlicher Parser, um optimale Ergebnisse zu erzielen. Diese Parser werden durch die Verwendung von Kusto-Funktionen implementiert. Weitere Informationen finden Sie im Abschnitt zu Ihrem Produkt auf der Seite Referenz zu Microsoft Sentinel-Datenconnectors.
Um CEF-Ereignisse für diese Produkte zu finden, geben Sie den Namen der Kusto-Funktion als Abfragebetreff anstelle von „CommonSecurityLog“ ein.
Hilfreiche Beispielabfragen, Arbeitsmappen und Analyseregelvorlagen, die speziell für Ihr Produkt erstellt wurden, finden Sie auf der Registerkarte Nächste Schritte der Datenconnectorseite Ihres Produkts im Microsoft Sentinel-Portal.
Wenn keine Daten angezeigt werden, finden Sie eine Anleitung auf der CEF-Problembehandlungsseite.
Ändern der Quelle des Felds „TimeGenerated“
Standardmäßig füllt der Log Analytics-Agent das Feld TimeGenerated im Schema mit der Zeit auf, zur der der Agent das Ereignis vom Syslog-Daemon empfangen hat. Folglich wird die Zeit, zu der das Ereignis im Quellsystem generiert wurde, nicht in Microsoft Sentinel erfasst.
Sie können jedoch den folgenden Befehl ausführen, um das Skript TimeGenerated.py herunterzuladen und auszuführen. Mit diesem Skript wird der Log Analytics-Agent so konfiguriert, dass das Feld TimeGenerated mit der ursprünglichen Zeit des Ereignisses aus dem Quellsystem aufgefüllt wird, und nicht mit der Zeit, zu der es vom Agent empfangen wurde.
wget -O TimeGenerated.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/TimeGenerated.py && python TimeGenerated.py {ws_id}
Nächste Schritte
In diesem Dokument haben Sie erfahren, wie Microsoft Sentinel CEF-Protokolle von Geräten und Appliances sammelt. Weitere Informationen zum Verbinden Ihres Produkts mit Microsoft Sentinel finden Sie in den folgenden Artikeln:
- Bereitstellen einer Syslog-/CEF-Weiterleitung
- Referenz für Microsoft Sentinel-Datenverbinder
- Fehlerbehebung bei der Protokollweiterleitungskonnektivität
Weitere Informationen zu Aktivitäten, die Sie mit den in Microsoft Sentinel gesammelten Daten ausführen können, finden Sie in den folgenden Artikeln:
- Erfahren Sie mehr über die CEF- und CommonSecurityLog-Feldzuordnung.
- Erfahren Sie, wie Sie Einblick in Ihre Daten und potenzielle Bedrohungen erhalten.
- Beginnen Sie mit Erkennung von Bedrohungen mithilfe von Microsoft Sentinel.