Share via

將裝置或設備中的 CEF 格式記錄傳輸到 Microsoft Sentinel

  • 發行項

注意

如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。

許多網路和安全性裝置和設備會以稱為常見事件格式 (CEF) 的特殊格式,透過 Syslog 通訊協定傳送其系統記錄。 此格式包含比標準 Syslog 格式更多的資訊,並以剖析的索引鍵/值的排列呈現資訊。 Log Analytics 代理程式會接受 CEF 記錄,並將其格式化以與 Microsoft Sentinel 搭配使用,再將其轉送至您的 Microsoft Sentinel 工作區。

瞭解如何 使用 AMA 收集 Syslog,包括如何設定 Syslog 和建立 DCR。

重要

即將進行的變更:

  • 2023 年 2 月 28日,我們引進了 CommonSecurityLog 資料表架構的變更。
    • 在此變更之後,您可能需要檢閱和更新自訂查詢。 如需詳細資訊,請參閱此部落格文章中的 建議動作一節 。 Microsoft Sentinel 已更新現用的內容 (偵測、搜捕查詢、活頁簿、剖析器等。) 。
    • 變更之前已串流和內嵌的資料仍可使用其先前的資料行和格式。 因此,舊資料行會保留在架構中。
  • 2024 年 8 月 31日, Log Analytics 代理程式將會淘汰。 如果您在 Microsoft Sentinel 部署中使用 Log Analytics 代理程式,建議您開始 規劃移轉至 AMA。 檢閱 CEF 和 Syslog 格式串流至 Microsoft Sentinel 的選項

本文說明使用 CEF 格式記錄來連接資料來源的程序。 如需使用此方法的資料連接器相關資訊,請參閱 Microsoft Sentinel 資料連接器參考

進行此連線時有兩個主要步驟,如下所詳述:

  • 將 Linux 電腦或 VM 指定為專用記錄轉寄站、在其上安裝 Log Analytics 代理程式,以及設定代理程式將記錄轉送至 Microsoft Sentinel 工作區。 代理程式的安裝和設定是由部署指令碼來處理。

  • 設定裝置以 CEF 格式傳送其記錄至 Syslog 伺服器。

注意

資料會儲存在您執行 Microsoft Sentinel 所在工作區的地理位置。

支援的架構

下圖描述 Linux VM 在 Azure 中的設定:

Azure 中的 CEF

或者,如果您使用的是在另一個雲端或內部部署機器的 VM,您將會使用下列設定方式:

內部部署的 CEF

先決條件

需要 Microsoft Sentinel 工作區,才能將 CEF 資料內嵌至 Log Analytics。

  • 您必須具有此工作區的讀取和寫入權限。

  • 您必須具有工作區共用金鑰的讀取權限。 深入瞭解工作區金鑰

指定記錄轉寄站並安裝 Log Analytics 代理程式

本節說明如何指定及設定 Linux 電腦,以將記錄從您的裝置轉送至您的 Microsoft Sentinel 工作區。

在您的內部部署環境如 Azure VM 或另一個雲端中的 VM,Linux 機器可以是實體或虛擬機器。

使用一般事件格式 (CEF) 資料連接器頁面上提供的連結,在指定的電腦上執行指令碼,然後執行下列工作:

  • 安裝適用於 Linux 的 Log Analytics 代理程式 (也稱為 OMS 代理程式) 並針對下列用途進行設定:

    • 接聽來自 TCP 通訊埠 25226 內建 Linux Syslog 精靈的 CEF 訊息
    • 透過 TLS 將訊息安全地傳送到您的 Microsoft Sentinel 工作區,在此對訊息進行解析和擴充

  • 針對下列用途,設定內建 Linux Syslog 精靈 (rsyslog. d/Syslog-ng):

    • 接聽來自 TCP 通訊埠 514 上安全性解決方案的 Syslog 訊息
    • 透過 TCP 通訊埠 25226,只將識別為 CEF 的訊息轉送到 localhost 上的 Log Analytics 代理程式

如需詳細資訊,請參閱部署記錄轉寄站,以將 Syslog 和 CEF 記錄內嵌至 Microsoft Sentinel

安全性考量

請務必根據組織的安全性原則來設定機器的安全性。 例如,您可根據公司網路安全性原則設定網路,並且依需求變更精靈中的連接埠和通訊協定。

如需詳細資訊,請參閱在 Azure 中保護 VM網路安全性的最佳做法

如果您的裝置透過 TLS 傳送 Syslog 和 CEF 記錄,例如,當您的記錄轉寄站位於雲端時,則您必須設定 Syslog 精靈 (rsyslog 或 syslog-ng) 才能在 TLS 中通訊。

如需詳細資訊,請參閱

設定裝置

找出並遵循裝置廠商的設定指示,以 CEF 格式將記錄傳送至 SIEM 或記錄伺服器。

如果您的產品出現在資料連接器資源庫中,您可以查閱 Microsoft Sentinel 資料連接器參考以取得協助,其中的設定指示應包含下方清單中的設定。

  • 通訊協定 = TCP
  • 連接埠 = 514
  • 格式 = CEF
  • IP 位址 - 請務必將 CEF 訊息傳送至您專用於此用途的虛擬機器 IP 位址。

此解決方案支援 Syslog RFC 3164 或 RFC 5424。

秘訣

視需要在裝置中定義不同的通訊協定或連接埠號碼,只要您在記錄轉寄站上的 Syslog 精靈中也進行相同的變更即可。

尋找資料

建立連線之後最多可能需要 20 分鐘的時間,資料才會出現在 Log Analytics 中。

若要在 Log Analytics 中搜尋 CEF 事件,請在查詢視窗中查詢 CommonSecurityLog 資料表。

資料連接器資源庫中列出的某些產品需要使用其他剖析器才能獲得最佳結果。 這些剖析器是透過使用 Kusto 函式來實作。 如需詳細資訊,請參閱 Microsoft Sentinel 資料連接器參考頁面上的產品一節。

若要尋找這些產品的 CEF 事件,請輸入 Kusto 函式的名稱作為查詢主體,而非「CommonSecurityLog」。

您可以在 Microsoft Sentinel 入口網站中產品資料連接器頁面的 [後續步驟] 索引標籤上,找到特別針對您產品所準備的實用範例查詢、活頁簿和分析規則範本。

如果您沒有看到任何資料,請參閱 [CEF 疑難排解] 頁面以取得指導。

變更 TimeGenerated 欄位的來源

根據預設,Log Analytics 代理程式會將代理程式從 Syslog 精靈收到事件的時間,填入結構描述中的 [TimeGenerated] 欄位。 因此,在來源系統上產生事件的時間不會記錄在 Microsoft Sentinel 中。

不過,您可以執行下列命令,以下載並執行 TimeGenerated.py 指令碼。 此指令碼會將 Log Analytics 代理程式設定為在 [TimeGenerated] 欄位中填入其來源系統上的事件原始時間,而非代理程式收到事件的時間。

wget -O TimeGenerated.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/TimeGenerated.py && python TimeGenerated.py {ws_id}

後續步驟

在本文件中,您已瞭解 Microsoft Sentinel 如何從裝置和設備收集 CEF 記錄。 若要深入瞭解如何針對 Microsoft Sentinel 設定產品,請參閱下列文章:

若要深入瞭解如何使用您已在 Microsoft Sentinel 中收集的資料,請參閱下列文章: