[非推奨]デバイスまたはアプライアンスから Microsoft Sentinel に CEF 形式のログを取得する

ネットワークとセキュリティに関する多くのデバイスおよびアプライアンスは、システム ログを Common Event Format (CEF) として知られる特殊な形式で Syslog を介して送信します。 この形式には標準の Syslog 形式よりも多くの情報が含まれ、解析されたキーと値の配置で情報が示されます。 Log Analytics エージェントでは CEF ログを受け入れ、特に Microsoft Sentinel で使用するためにそれらのログの形式を設定してから、Microsoft Sentinel ワークスペースに転送します。

Syslog を構成して DCR を作成する方法など、 AMA で Syslog を収集する方法について説明します。

この記事では、CEF 形式のログを使用してデータ ソースを接続するプロセスについて説明します。 この方法を使用するデータ コネクタの詳細については、 Microsoft Sentinel データ コネクタのリファレンスを参照してください。

この接続の作成には、次の 2 つの手順が必要になります。これらについては後ほど詳しく説明します。

• Linux マシンまたは VM を専用のログ フォワーダーとして指定し、それに Log Analytics エージェントをインストールし、ログを Microsoft Sentinel ワークスペースに転送するようにエージェントを構成する。 エージェントのインストールと構成は、配置スクリプトによって処理されます。

• Syslog サーバーに対して CEF 形式でログを送信するようにデバイスを構成する。

サポートされているアーキテクチャ

次の図は、Azure で Linux VM を使用した場合の設定を示しています。

または、別のクラウドの VM かオンプレミスのマシンを使用する場合は、次の構成を使用します。

前提条件

Log Analytics に CEF データを取り込むためには、Microsoft Sentinel ワークスペースが必要です。

• このワークスペースに対する読み取りおよび書き込みアクセス許可が必要です。

• このワークスペースの共有キーに対する読み取りアクセス許可が必要です。 ワークスペース キーの詳細を確認します。

ログ フォワーダーを指定し、Log Analytics エージェントをインストールする

このセクションでは、使用しているデバイスから Microsoft Sentinel ワークスペースにログを転送する Linux マシンを指定および構成する方法について説明します。

Linux マシンは、オンプレミス環境の物理マシンや仮想マシン、Azure VM のほか、別のクラウドの VM でもかまいません。

Common Event Format (CEF) データ コネクタ ページに記載されているリンクを使用して、指定されたマシンでスクリプトを実行し、次のタスクを実行します。

• Linux 用 Log Analytics エージェント (OMS エージェントとも呼ばれます) をインストールし、次の目的で構成します。

  • 組み込みの Linux Syslog デーモンからの CEF メッセージを TCP ポート 25226 でリッスンする
  • メッセージの解析とエンリッチが行われる Microsoft Sentinel ワークスペースに対し、TLS で安全にメッセージを送信する

• 次の目的で、組み込みの Linux Syslog デーモン (rsyslog.d/syslog-ng) を構成します。

  • セキュリティ ソリューションからの Syslog メッセージを TCP ポート 514 でリッスンする
  • CEF として識別したメッセージだけを localhost の Log Analytics エージェントに TCP ポート 25226 を使用して転送する

詳細については、「 ログ フォワーダーをデプロイして Syslog と CEF ログを Microsoft Sentinel に取り込む」を参照してください。

セキュリティに関する考慮事項

組織のセキュリティ ポリシーに従って、コンピューターのセキュリティを構成してください。 たとえば、企業のネットワーク セキュリティ ポリシーに合わせてネットワークを構成し、デーモンのポートとプロトコルを要件に合わせて変更することができます。

詳細については、 Azure での VM のセキュリティ保護 と ネットワーク セキュリティのベスト プラクティスに関するページを参照してください。

ログ フォワーダーがクラウド内にある場合など、デバイスが TLS 経由で Syslog および CEF ログを送信している場合は、TLS で通信するように Syslog デーモン (rsyslog または syslog-ng) を構成する必要があります。

詳細については、次を参照してください。

• TLS を使用した Syslog トラフィックの暗号化 – rsyslog
• TLS を使用したログ メッセージの暗号化 – syslog-ng

デバイスを構成する

ログを CEF 形式で SIEM またはログ サーバーに送信するための、デバイス ベンダーが提供している構成手順を見つけてそれに従います。

製品がデータ コネクタ ギャラリーに表示される場合は、 Microsoft Sentinel データ コネクタのリファレンスを参照 してサポートを受けることができます。ここで、構成手順には以下の一覧に設定を含める必要があります。

• プロトコル = TCP
• ポート = 514
• 形式 = CEF
• IP アドレス - CEF メッセージを、この目的専用の仮想マシンの IP アドレスに送信していることを確認します。

このソリューションは、Syslog RFC 3164 または RFC 5424 をサポートしています。

データの検索

接続が確立されてからデータが Log Analytics に表示されるまでに、最大で 20 分かかる場合があります。

Log Analytics で CEF イベントを検索するには、クエリ ウィンドウで CommonSecurityLog テーブルに対してクエリを実行します。

データ コネクタ ギャラリーに表示される一部の製品では、最適な結果を得るには追加のパーサーを使用する必要があります。 これらのパーサーは、Kusto 関数を使用することによって実装されます。 詳細については、 Microsoft Sentinel データ コネクタのリファレンス ページで製品のセクションを参照してください。

これらの製品の CEF イベントを検索するには、"CommonSecurityLog" ではなく、Kusto 関数の名前をクエリ サブジェクトとして入力します。

Microsoft Sentinel ポータルの製品のデータ コネクタ ページの [次のステップ ] タブで、特に製品用に作成されたサンプル クエリ、ブック、分析ルール テンプレートを見つけることができます。

データが表示されない場合は、 CEF のトラブルシューティング に関するページでガイダンスを参照してください。

TimeGenerated フィールドのソースの変更

既定では、Log Analytics エージェントは、エージェントが Syslog デーモンからイベントを受信した時刻をスキーマの TimeGenerated フィールドに設定します。 そのため、ソース システムでイベントが生成された時刻は Microsoft Sentinel に記録されません。

ただし、次のコマンドを実行すると、 TimeGenerated.py スクリプトをダウンロードして実行できます。 このスクリプトは、エージェントが受信した時刻ではなく、ソース システム上のイベントの元の時刻を TimeGenerated フィールドに設定するように Log Analytics エージェントを構成します。

wget -O TimeGenerated.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/TimeGenerated.py && python TimeGenerated.py {ws_id}

次のステップ

このドキュメントでは、Microsoft Sentinel によってデバイスやアプライアンスから CEF ログを収集する方法について学習しました。 製品を Microsoft Sentinel に接続する方法の詳細については、次の記事を参照してください。

• Syslog/CEF フォワーダーをデプロイする
• Microsoft Sentinel データ コネクタ リファレンス
• ログ フォワーダー接続のトラブルシューティング

Microsoft Sentinel で収集したデータの処理に関する詳細については、次の記事を参照してください。

• CEF と CommonSecurityLog フィールド マッピングについて説明します。
• データと潜在的な脅威を可視化する方法について説明します。
• Microsoft Sentinel で脅威の検出を開始します。