使用 Syslog 连接外部解决方案
可以將支持 Syslog 的任何本地設(shè)備連接到 Azure Sentinel。?這是通過在設(shè)備和 Azure Sentinel 之間使用基于 Linux 計算機的代理來完成的。?如果 Linux 計算機位于 Azure 中, 則可以將設(shè)備或應(yīng)用程序中的日志流式傳輸?shù)皆?Azure 中創(chuàng)建的專用工作區(qū), 并進行連接。?如果 Linux 計算機不在 Azure 中, 則可以將設(shè)備中的日志流式傳輸?shù)綄S玫谋镜?VM 或計算機上, 以便在其中安裝適用于 Linux 的代理。
?備注
如果設(shè)備支持 Syslog CEF, 則連接將更完整, 應(yīng)選擇此選項, 并按照連接來自 CEF 的數(shù)據(jù)中的說明進行操作。
工作原理
Syslog 是普遍適用于 Linux 的事件日志記錄協(xié)議。?應(yīng)用程序?qū)l(fā)送可能存儲在本地計算機或傳遞到 Syslog 收集器的消息。?安裝適用于 Linux 的 Log Analytics 代理后,它將配置本地 Syslog 后臺程序,以將消息轉(zhuǎn)發(fā)到此代理。?然后,此代理將消息發(fā)送到 Azure Monitor,將在后者中創(chuàng)建相應(yīng)的記錄。
有關(guān)詳細信息,請參閱中的 Syslog 數(shù)據(jù)源 Azure Monitor。
?備注
代理可以從多個源收集日志, 但必須在專用代理計算機上安裝日志。
連接 Syslog 設(shè)備
在 Azure Sentinel 中,選擇 "數(shù)據(jù)連接器",然后選擇Syslog連接器。
在Syslog邊欄選項卡上,選擇 "打開連接器" 頁面。
安裝 Linux 代理:
- 如果 Linux 虛擬機位于 Azure 中,請選擇?"在 Azure Linux 虛擬機上下載并安裝代理"?。?在 "虛擬機" 邊欄選項卡中,選擇要在其上安裝代理的虛擬機,然后單擊 "連接"。
- 如果 Linux 計算機不在 Azure 中,請選擇?"在 linux 非 azure 計算機上下載并安裝代理"?。?在 "直接代理" 邊欄選項卡中,復(fù)制下載和板載 agent for LINUX的命令并在計算機上運行該命令。
?備注
請確保根據(jù)組織的安全策略配置這些計算機的安全設(shè)置。?例如,你可以配置網(wǎng)絡(luò)設(shè)置,使其符合組織的網(wǎng)絡(luò)安全策略,并更改守護程序中的端口和協(xié)議,使其符合安全要求。
選擇 "打開工作區(qū)高級設(shè)置配置"。
在 "高級設(shè)置" 邊欄選項卡中,選擇 "數(shù)據(jù)?>?系統(tǒng)日志"。?然后,添加要收集的連接器的功能。
添加 syslog 設(shè)備在其日志標頭中包含的工具。?你可以在/etc/rsyslog.d/security-config-omsagent.conf?syslog 中的 syslog 設(shè)備上、在文件夾中以及從/etc/syslog-ng/security-config-omsagent.conf?r-syslog中查看此配置。
如果要將異常 SSH 登錄檢測與收集的數(shù)據(jù)一起使用,請?zhí)砑?strong>auth和authpriv。?有關(guān)更多詳細信息,請參閱以下部分。
如果已添加要監(jiān)視的所有設(shè)備,并調(diào)整每個設(shè)備的任何嚴重性選項,請選中 "將下面的配置應(yīng)用到我的計算機" 復(fù)選框。
選擇“保存”。
在 syslog 設(shè)備上,確保正在發(fā)送指定的設(shè)施。
若要在 syslog 日志的 Azure Monitor 中使用相關(guān)架構(gòu),請搜索syslog。
您可以使用Azure Monitor 日志查詢中的函數(shù)中所述的 Kusto 函數(shù)來分析 Syslog 消息。?然后,您可以將其另存為新的 Log Analytics 函數(shù),用作一種新的數(shù)據(jù)類型。
為異常 SSH 登錄檢測配置 Syslog 連接器
?重要
異常 SSH 登錄檢測目前為公共預(yù)覽版。?此功能在提供時沒有服務(wù)級別協(xié)議,不建議用于生產(chǎn)工作負荷。?有關(guān)詳細信息,請參閱?Microsoft Azure 預(yù)覽版補充使用條款。
Azure Sentinel 可以將機器學(xué)習(xí)(ML)應(yīng)用于 syslog 數(shù)據(jù),以確定異常安全外殼(SSH)登錄活動。?方案包括:
- 不可能的旅行–當兩個成功登錄事件發(fā)生在兩個位置,而這兩個位置無法在兩個登錄事件的時間范圍內(nèi)到達時。
- 意外位置–成功登錄事件發(fā)生的位置可疑。?例如,最近未出現(xiàn)位置。
此檢測需要 Syslog 數(shù)據(jù)連接器的特定配置:
對于前一過程中的步驟5,請確保選擇 "身份驗證" 和 "?authpriv?" 作為要監(jiān)視的設(shè)施。?保留 "嚴重性" 選項的默認設(shè)置,以便所有這些選項都處于選中狀態(tài)。?例如:
留出足夠的時間來收集 syslog 信息。?然后,導(dǎo)航到 "?Azure Sentinel 日志",復(fù)制并粘貼以下查詢:
復(fù)制
Syslog |? where Facility in ("authpriv","auth")| extend c = extract( "Accepted\\s(publickey|password|keyboard-interactive/pam)\\sfor ([^\\s]+)",1,SyslogMessage)| where isnotempty(c) | count更改時間范圍(如果需要),然后選擇 "運行"。
如果生成的計數(shù)為零,請確認連接器的配置,并且被監(jiān)視的計算機在您為查詢指定的時間段內(nèi)具有成功的登錄活動。
如果生成的計數(shù)大于零,則 syslog 數(shù)據(jù)適用于異常 SSH 登錄檢測。?你可以通過分析?>?規(guī)則模板?>?(預(yù)覽版)進行異常 SSH 登錄檢測來啟用此檢測。
后續(xù)步驟
本文檔介紹了如何將 Syslog 本地設(shè)備連接到 Azure Sentinel。?要詳細了解 Azure Sentinel,請參閱以下文章:
- 了解如何了解你的數(shù)據(jù)以及潛在的威脅。
- 開始通過 Azure Sentinel 檢測威脅。
總結(jié)
以上是生活随笔為你收集整理的使用 Syslog 连接外部解决方案的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 第十二节:WebApi自动生成在线Api
- 下一篇: NuGet是什么?理解与使用(上)