重要
許多設備與裝置的記錄收集現在都透過下列項目支援:透過 AMA 的常見事件格式 (CEF)、透過 AMA 的 Syslog,或透過 Microsoft Sentinel 中 AMA 資料連接器的自訂記錄。 如需詳細資訊,請參閱 尋找您的Microsoft Sentinel 數據連接器。
許多網路和安全性裝置和設備會以稱為常見事件格式 (CEF) 的特殊格式,透過 Syslog 通訊協定傳送其系統記錄。 此格式包含比標準 Syslog 格式更多的資訊,並以剖析的索引鍵/值的排列呈現資訊。 Log Analytics 代理程式會接受 CEF 記錄,並將其格式化以與 Microsoft Sentinel 搭配使用,再將其轉送至您的 Microsoft Sentinel 工作區。
瞭解如何 使用 AMA 收集 Syslog,包括如何設定 Syslog 和建立 DCR。
重要
即將進行的變更:
-
在 2023 年 2 月 28 日,我們引進了 CommonSecurityLog 數據表架構的變更。
- 在這項變更之後,您可能需要檢閱和更新自訂查詢。 如需詳細資訊,請參閱此部落格文章中的 建議動作一節 。 Microsoft Sentinel 已更新即用型的內容 (偵測、探索查詢、活頁簿、解析器等)。
- 在變更前已串流和擷取的資料仍將以其原有的資料行和格式提供。 因此,舊資料行將保留在模式中。
- 在 2024 年 8 月 31 日,Log Analytics 代理程式將會淘汰。 如果您在Microsoft Sentinel 部署中使用Log Analytics代理程式,建議您開始 規劃移轉至 AMA。 檢閱 將CEF和Syslog格式的記錄傳送到Microsoft Sentinel的選項。
本文說明使用 CEF 格式記錄來連接資料來源的程序。 如需使用此方法之數據連接器的相關信息,請參閱 Microsoft Sentinel 數據連接器參考。
進行此連線時有兩個主要步驟,如下所詳述:
將 Linux 電腦或 VM 指定為專用記錄轉寄站、在其上安裝 Log Analytics 代理程式,以及設定代理程式將記錄轉送至 Microsoft Sentinel 工作區。 代理程式的安裝和設定是由部署指令碼來處理。
設定裝置以 CEF 格式傳送其記錄至 Syslog 伺服器。
注意
資料會儲存在您執行 Microsoft Sentinel 所在工作區的地理位置。
支援的架構
下圖描述 Linux VM 在 Azure 中的設定:
或者,如果您使用的是在其他雲端中或內部部署的虛擬機器 (VM),您將使用以下設定:
必要條件
需要 Microsoft Sentinel 工作區,才能將 CEF 資料內嵌至 Log Analytics。
您必須具有此工作區的讀取和寫入權限。
您必須具有工作區共用金鑰的讀取權限。 深入瞭解工作區金鑰。
指定記錄轉寄站並安裝 Log Analytics 代理程式
本節說明如何指定及設定 Linux 電腦,以將記錄從您的裝置轉送至您的 Microsoft Sentinel 工作區。
您的 Linux 機器可以是您內部部署環境中的實體或虛擬機器、Azure VM,或其他雲端中的 VM。
使用 Common Event Format (CEF) 資料連接器頁面上 提供的連結,在指定的電腦上執行腳本,並執行下列工作:
安裝適用於 Linux 的 Log Analytics 代理程式 (也稱為 OMS 代理程式),並針對下列目的進行設定:
- 接聽來自 TCP 通訊埠 25226 內建 Linux Syslog 精靈的 CEF 訊息
- 透過 TLS 將訊息安全地傳送到您的 Microsoft Sentinel 工作區,在此對訊息進行解析和擴充
設定內建的Linux Syslog 精靈 (rsyslog.d /syslog-ng) 以達到下列目的:
- 接聽來自 TCP 通訊埠 514 上安全性解決方案的 Syslog 訊息
- 透過 TCP 通訊埠 25226,只將識別為 CEF 的訊息轉送到 localhost 上的 Log Analytics 代理程式
如需詳細資訊,請參閱 將日誌轉寄站部署以接收 Syslog 和 CEF 日誌到 Microsoft Sentinel。
安全性考量
請務必根據組織的安全性原則來設定機器的安全性。 例如,您可根據公司網路安全性原則設定網路,並且依需求變更精靈中的連接埠和通訊協定。
如需詳細資訊,請參閱 在 Azure 中保護 VM 和 網路安全性的最佳做法。
如果您的裝置透過 TLS 傳送 Syslog 和 CEF 記錄,例如,當您的記錄轉寄站位於雲端時,則您必須設定 Syslog 精靈 (rsyslog 或 syslog-ng) 才能在 TLS 中通訊。
如需詳細資訊,請參閱
設定裝置
找出並遵循裝置廠商的設定指示,以 CEF 格式將記錄傳送至 SIEM 或記錄伺服器。
如果您的產品出現在數據連接器資源庫中,您可以查閱 Microsoft Sentinel 數據連接器參考 以取得協助,其中設定指示應包含下列清單中的設定。
- 通訊協定 = TCP
- 連接埠 = 514
- 格式 = CEF
- IP 位址 - 請務必將 CEF 訊息傳送至您專用於此用途的虛擬機器 IP 位址。
此解決方案支援 Syslog RFC 3164 或 RFC 5424。
提示
視需要在裝置中定義不同的通訊協定或連接埠號碼,只要您在記錄轉寄站上的 Syslog 精靈中也進行相同的變更即可。
尋找您的資料
建立連線之後最多可能需要 20 分鐘的時間,資料才會出現在 Log Analytics 中。
若要在 Log Analytics 中搜尋 CEF 事件,請在查詢視窗中查詢 CommonSecurityLog 資料表。
資料連接器資源庫中列出的某些產品需要使用其他剖析器才能獲得最佳結果。 這些剖析器是透過使用 Kusto 函式來實作。 如需詳細資訊,請參閱 Microsoft Sentinel 數據連接器參考 頁面上的產品一節。
若要尋找這些產品的 CEF 事件,請輸入 Kusto 函式的名稱作為查詢主體,而非「CommonSecurityLog」。
您可以在 Microsoft Sentinel 入口網站中產品資料連接器頁面的 [後續步驟] 索引標籤上,找到特別針對您產品所準備的實用範例查詢、活頁簿和分析規則範本。
如果您沒有看到任何資料,請參閱 [CEF 疑難排解] 頁面以取得指導。
變更 TimeGenerated 欄位的來源
根據預設,Log Analytics 代理程式會將代理程式從 Syslog 精靈收到事件的時間,填入結構描述中的 [TimeGenerated] 欄位。 因此,在來源系統上產生事件的時間不會記錄在 Microsoft Sentinel 中。
不過,您可以執行下列命令,以下載並執行 TimeGenerated.py 指令碼。 此指令碼會將 Log Analytics 代理程式設定為在 [TimeGenerated] 欄位中填入其來源系統上的事件原始時間,而非代理程式收到事件的時間。
wget -O TimeGenerated.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/TimeGenerated.py && python TimeGenerated.py {ws_id}
下一步
在本文件中,您已瞭解 Microsoft Sentinel 如何從裝置和設備收集 CEF 記錄。 若要瞭解如何將您的產品連接到 Microsoft Sentinel,請參閱下列文章:
若要深入瞭解如何使用您已在 Microsoft Sentinel 中收集的資料,請參閱下列文章:
- 瞭解 CEF 和 CommonSecurityLog 欄位對應。
- 瞭解如何 瞭解您的數據和潛在威脅。
- 開始使用 Microsoft Sentinel 偵測威脅。