Compartilhar via

[Descontinuado] Implantar um reencaminhador de logs para ingerir logs do Syslog e do CEF no Microsoft Sentinel

Importante

A coleta de registros de muitos dispositivos agora é suportada pelo Formato Comum de Evento (CEF) via AMA, pelo Syslog via AMA ou por Logs Personalizados através do conector de dados AMA no Microsoft Sentinel. Para obter mais informações, consulte Encontrar seu conector de dados do Microsoft Sentinel.

Cuidado

Este artigo faz referência ao CentOS, uma distribuição do Linux que atingiu o status de EOL (Fim do serviço). Considere seu planejamento e uso de forma adequada. Para obter mais informações, confira as Diretrizes de Fim do Suporte do CentOS.

Para ingerir logs Syslog e CEF no Microsoft Sentinel, particularmente de dispositivos e equipamentos nos quais você não pode instalar o Log Analytics Agent diretamente, você precisará designar e configurar uma máquina Linux que coletará os logs de seus dispositivos e os encaminhará para seu espaço de trabalho do Microsoft Sentinel. Esse computador pode ser físico ou virtual no ambiente local, uma VM do Azure ou uma VM em outra nuvem.

Este computador tem dois componentes que fazem parte desse processo:

  • Um daemon de syslog, rsyslog ou syslog-ng, que coleta os logs.
  • O Agente de Análise de Logs (também conhecido como OMS Agent), que encaminha os logs para o Microsoft Sentinel.

Usando o link fornecido abaixo, você executará um script no computador designado que realizará as seguintes tarefas:

  • Instala o agente do Log Analytics para Linux (também conhecido como agente do OMS) e o configura para as seguintes finalidades:

    • escutar as mensagens do CEF do daemon Syslog nativo do Linux na porta TCP 25226
    • enviar as mensagens com segurança por TLS para seu espaço de trabalho do Microsoft Sentinel, onde elas são analisadas e aprimoradas

  • Configura o daemon do Syslog do Linux interno (rsyslog.d/syslog-ng) para as seguintes finalidades:

    • escutando mensagens do Syslog das suas soluções de segurança através da porta TCP 514
    • encaminhar somente as mensagens que identificar como CEF para o agente do Log Analytics no localhost usando a porta TCP 25226

Importante

O agente do Log Analytics será desativado em 31 de agosto de 2024. Se você estiver usando o agente do Log Analytics na implantação do Microsoft Sentinel, recomendamos que você comece a planejar a migração para o AMA. Para obter mais informações, consulte AMA migration para Microsoft Sentinel.

Para obter informações sobre como implantar logs do Syslog e/ou CEF com o Agente do Azure Monitor, consulte as opções para transmissão de logs no formato CEF e Syslog para o Microsoft Sentinel.

Pré-requisitos

Cada conector de dados tem seu próprio conjunto de pré-requisitos. Os pré-requisitos podem incluir que você deve ter permissões específicas em seu workspace, assinatura ou política do Azure. Ou você deve atender a outros requisitos para a fonte de dados parceira à qual está se conectando.

Os pré-requisitos para cada conector de dados estão listados na página do conector de dados relevante no Microsoft Sentinel.

Instale a solução de produto do Hub de Conteúdo no Microsoft Sentinel. Se o produto não estiver listado, instale a solução para Formato Comum de Evento. Para obter mais informações, consulte Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel.

Importante

As versões do sistema operacional podem ter datas de suporte e ciclos de vida diferentes. Recomendamos que você verifique a documentação oficial de cada distribuição para obter o suporte e as datas de fim da vida útil mais precisos e atualizados.

Seu computador deve atender aos seguintes requisitos:

  • Hardware (físico/virtual)

    • Seu computador Linux deve ter um mínimo de 4 núcleos de CPU e 8 GB de RAM.

      Observação

      • Apenas uma máquina de encaminhamento de logs com a configuração de hardware acima e usando o daemon rsyslog tem uma capacidade suportada de coletar até 8.500 eventos por segundo (EPS).

  • Sistema operacional

    • Amazon Linux 2 (somente 64 bits)
    • Oracle Linux 7, 8 (64 bits/32 bits)
    • Red Hat Enterprise Linux (RHEL) Servidor 7 e 8 (não 6), incluindo versões secundárias (64 bits/32 bits)
    • Debian GNU/Linux 8 e 9 (64 bits/32 bits)
    • Ubuntu Linux 20.04 LTS (somente 64 bits)
    • SUSE Linux Enterprise Server 12, 15 (somente 64 bits)
    • Não há mais suporte para distribuições CentOS, pois elas atingiram o status de EOL (Fim do serviço). Confira a observação no início deste artigo.

  • Versões do daemon

    • Rsyslog: v8
    • Syslog-ng: 2.1 - 3.22.1

  • Pacotes

    • Você precisa ter o Python 2.7 ou 3 instalado no computador Linux.
      Use o comando python --version ou python3 --version para verificar.
    • Você deve ter o pacote Wget do GNU.

  • Suporte RFC do syslog

    • Syslog RFC 3164
    • Syslog RFC 5424

  • Configuração

    • Você deve ter permissões elevadas (sudo) em seu computador Linux designado.
    • O computador Linux não deve estar conectado a nenhum Workspace do Azure antes de instalar o agente de Log Analytics.

  • Dados

    • Talvez seja necessário o ID do Espaço de Trabalho do workspace do Microsoft Sentinel e a Chave Primária do Espaço de Trabalho em algum momento nesse processo. Você pode encontrá-los na configuração do espaço de trabalho, em Gerenciamento de agentes.

Considerações de segurança

Configure a segurança do computador de acordo com a política de segurança da organização. Por exemplo, você pode configurar a rede para ser alinhada à política de segurança de rede corporativa e alterar as portas e os protocolos do daemon para que sejam alinhados aos requisitos. Você pode usar as instruções a seguir para melhorar a configuração de segurança do computador: VM segura no Azure, Práticas recomendadas para segurança de rede.

Se seus dispositivos estiverem enviando logs Syslog e CEF por TLS (porque, por exemplo, o encaminhador de log está na nuvem), você precisará configurar o daemon Syslog (rsyslog ou syslog-ng) para se comunicar em TLS. Para obter detalhes, confira a seguinte documentação:

Executar o script de implantação

  1. No Microsoft Sentinel, selecione Conectores de dados.

  2. Selecione o conector do produto na galeria de conectores. Se o produto não estiver listado, selecione CEF (Formato Comum de Evento).

  3. No painel de detalhes, selecione Abrir página do conector.

  4. Na página do conector, nas instruções em 1.2 Instalar o coletor CEF no computador Linux, copie o link fornecido em Executar o script a seguir para instalar e aplicar o coletor CEF.
    Se você não tiver acesso àquela página, copie o link do texto abaixo (copiando e colando a ID de Workspace e a Chave Primária acima no lugar dos espaços reservados):

    sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py [WorkspaceID] [Workspace Primary Key]

  5. Cole o link ou o texto na linha de comando do seu encaminhador de logs e execute-o.

  6. Enquanto o script estiver em execução, verifique se você não recebe mensagens de erro ou de aviso.

    • Você pode receber uma mensagem direcionando você para executar um comando para corrigir um problema com o mapeamento do campo Computador. Consulte a explicação no script de implantação para obter detalhes.

  7. Configurar o dispositivo para enviar mensagens CEF.

    Observação

    Usar o mesmo computador para encaminhar mensagens normais de Syslog e de CEF

    Se você planeja usar esta máquina de encaminhamento de logs para encaminhar tanto as mensagens do Syslog quanto CEF, então, para evitar a duplicação de eventos nas tabelas Syslog e CommonSecurityLog:

    1. Em cada máquina de origem que envia logs para o encaminhador no formato CEF, você deve editar o arquivo de configuração do Syslog para remover as facilidades utilizadas para o envio de mensagens CEF. Dessa forma, as facilidades enviadas no CEF também não serão enviadas no Syslog. Consulte Configurar Syslog no agente do Linux para obter instruções detalhadas sobre como fazer isso.

    2. Você deve executar o comando a seguir nessas máquinas para desabilitar a sincronização do agente com a configuração de Syslog no Microsoft Sentinel. Isso garante que a alteração de configuração feita na etapa anterior não seja substituída.
      sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'

Script de implantação explicado

A seguir está uma descrição de comando por comando das ações do script de implantação.

Escolha um daemon syslog para ver a descrição apropriada.

  1. Baixando e instalando o agente de Log Analytics:

    • Baixa o script de instalação para o agente do Log Analytics (OMS) do Linux.

      wget -O onboard_agent.sh https://raw.githubusercontent.com/Microsoft/OMS-Agent-for-Linux/
    master/installer/scripts/onboard_agent.sh

    • Instala o agente de Log Analytics.

      sh onboard_agent.sh -w [workspaceID] -s [Primary Key] -d opinsights.azure.com

  2. Definindo a configuração do agente de Log Analytics para escutar na porta 25226 e encaminhar mensagens CEF para o Microsoft Sentinel:

    • Baixa a configuração do repositório GitHub do agente de Log Analytics.

      wget -O /etc/opt/microsoft/omsagent/[workspaceID]/conf/omsagent.d/security_events.conf
    https://raw.githubusercontent.com/microsoft/OMS-Agent-for-Linux/master/installer/conf/
    omsagent.d/security_events.conf

  3. Configurando o daemon do Syslog:

    • Abre a porta 514 para a comunicação TCP usando o arquivo de configuração do syslog /etc/rsyslog.conf.

    • Configura o daemon para encaminhar mensagens CEF para o agente de Log Analytics na porta TCP 25226, inserindo um arquivo de configuração especial security-config-omsagent.conf no diretório do daemon do syslog /etc/rsyslog.d/.

      Conteúdo do arquivo security-config-omsagent.conf:

      if $rawmsg contains "CEF:" or $rawmsg contains "ASA-" then @@127.0.0.1:25226

  4. Reiniciando o daemon do Syslog e o agente de Log Analytics:

    • Reinicia o daemon rsyslog.

      service rsyslog restart

    • Reinicia o agente de Log Analytics.

      /opt/microsoft/omsagent/bin/service_control restart [workspaceID]

  5. Verificando o mapeamento do campo Computador conforme esperado:

    • Garante que o campo Computador na origem do syslog esteja corretamente mapeado no agente de log Analytics, usando o seguinte comando:

      grep -i "'Host' => record\['host'\]"  /opt/microsoft/omsagent/plugin/filter_syslog_security.rb

    • Se houver um problema com o mapeamento, o script produzirá uma mensagem de erro direcionando você para executar manualmente o comando a seguir (aplicando a ID do Workspace no lugar do espaço reservado). O comando garantirá o mapeamento correto e reiniciará o agente.

      sudo sed -i -e "/'Severity' => tags\[tags.size - 1\]/ a \ \t 'Host' => record['host']" -e "s/'Severity' => tags\[tags.size - 1\]/&,/" /opt/microsoft/omsagent/plugin/filter_syslog_security.rb && sudo /opt/microsoft/omsagent/bin/service_control restart [workspaceID]

Próximas etapas

Neste documento, você aprendeu a implantar o agente de Log Analytics para conectar dispositivos CEF ao Microsoft Sentinel. Para saber mais sobre o Microsoft Azure Sentinel, confira os artigos a seguir:

  • Last updated on