使用 Syslog 连接外部解决方案
可以將支持 Syslog 的任何本地設(shè)備連接到 Azure Sentinel。?這是通過在設(shè)備和 Azure Sentinel 之間使用基于 Linux 計(jì)算機(jī)的代理來完成的。?如果 Linux 計(jì)算機(jī)位于 Azure 中, 則可以將設(shè)備或應(yīng)用程序中的日志流式傳輸?shù)皆?Azure 中創(chuàng)建的專用工作區(qū), 并進(jìn)行連接。?如果 Linux 計(jì)算機(jī)不在 Azure 中, 則可以將設(shè)備中的日志流式傳輸?shù)綄S玫谋镜?VM 或計(jì)算機(jī)上, 以便在其中安裝適用于 Linux 的代理。
?備注
如果設(shè)備支持 Syslog CEF, 則連接將更完整, 應(yīng)選擇此選項(xiàng), 并按照連接來自 CEF 的數(shù)據(jù)中的說明進(jìn)行操作。
工作原理
Syslog 是普遍適用于 Linux 的事件日志記錄協(xié)議。?應(yīng)用程序?qū)l(fā)送可能存儲在本地計(jì)算機(jī)或傳遞到 Syslog 收集器的消息。?安裝適用于 Linux 的 Log Analytics 代理后,它將配置本地 Syslog 后臺程序,以將消息轉(zhuǎn)發(fā)到此代理。?然后,此代理將消息發(fā)送到 Azure Monitor,將在后者中創(chuàng)建相應(yīng)的記錄。
有關(guān)詳細(xì)信息,請參閱中的 Syslog 數(shù)據(jù)源 Azure Monitor。
?備注
代理可以從多個(gè)源收集日志, 但必須在專用代理計(jì)算機(jī)上安裝日志。
連接 Syslog 設(shè)備
在 Azure Sentinel 中,選擇 "數(shù)據(jù)連接器",然后選擇Syslog連接器。
在Syslog邊欄選項(xiàng)卡上,選擇 "打開連接器" 頁面。
安裝 Linux 代理:
- 如果 Linux 虛擬機(jī)位于 Azure 中,請選擇?"在 Azure Linux 虛擬機(jī)上下載并安裝代理"?。?在 "虛擬機(jī)" 邊欄選項(xiàng)卡中,選擇要在其上安裝代理的虛擬機(jī),然后單擊 "連接"。
- 如果 Linux 計(jì)算機(jī)不在 Azure 中,請選擇?"在 linux 非 azure 計(jì)算機(jī)上下載并安裝代理"?。?在 "直接代理" 邊欄選項(xiàng)卡中,復(fù)制下載和板載 agent for LINUX的命令并在計(jì)算機(jī)上運(yùn)行該命令。
?備注
請確保根據(jù)組織的安全策略配置這些計(jì)算機(jī)的安全設(shè)置。?例如,你可以配置網(wǎng)絡(luò)設(shè)置,使其符合組織的網(wǎng)絡(luò)安全策略,并更改守護(hù)程序中的端口和協(xié)議,使其符合安全要求。
選擇 "打開工作區(qū)高級設(shè)置配置"。
在 "高級設(shè)置" 邊欄選項(xiàng)卡中,選擇 "數(shù)據(jù)?>?系統(tǒng)日志"。?然后,添加要收集的連接器的功能。
添加 syslog 設(shè)備在其日志標(biāo)頭中包含的工具。?你可以在/etc/rsyslog.d/security-config-omsagent.conf?syslog 中的 syslog 設(shè)備上、在文件夾中以及從/etc/syslog-ng/security-config-omsagent.conf?r-syslog中查看此配置。
如果要將異常 SSH 登錄檢測與收集的數(shù)據(jù)一起使用,請?zhí)砑?strong>auth和authpriv。?有關(guān)更多詳細(xì)信息,請參閱以下部分。
如果已添加要監(jiān)視的所有設(shè)備,并調(diào)整每個(gè)設(shè)備的任何嚴(yán)重性選項(xiàng),請選中 "將下面的配置應(yīng)用到我的計(jì)算機(jī)" 復(fù)選框。
選擇“保存”。
在 syslog 設(shè)備上,確保正在發(fā)送指定的設(shè)施。
若要在 syslog 日志的 Azure Monitor 中使用相關(guān)架構(gòu),請搜索syslog。
您可以使用Azure Monitor 日志查詢中的函數(shù)中所述的 Kusto 函數(shù)來分析 Syslog 消息。?然后,您可以將其另存為新的 Log Analytics 函數(shù),用作一種新的數(shù)據(jù)類型。
為異常 SSH 登錄檢測配置 Syslog 連接器
?重要
異常 SSH 登錄檢測目前為公共預(yù)覽版。?此功能在提供時(shí)沒有服務(wù)級別協(xié)議,不建議用于生產(chǎn)工作負(fù)荷。?有關(guān)詳細(xì)信息,請參閱?Microsoft Azure 預(yù)覽版補(bǔ)充使用條款。
Azure Sentinel 可以將機(jī)器學(xué)習(xí)(ML)應(yīng)用于 syslog 數(shù)據(jù),以確定異常安全外殼(SSH)登錄活動。?方案包括:
- 不可能的旅行–當(dāng)兩個(gè)成功登錄事件發(fā)生在兩個(gè)位置,而這兩個(gè)位置無法在兩個(gè)登錄事件的時(shí)間范圍內(nèi)到達(dá)時(shí)。
- 意外位置–成功登錄事件發(fā)生的位置可疑。?例如,最近未出現(xiàn)位置。
此檢測需要 Syslog 數(shù)據(jù)連接器的特定配置:
對于前一過程中的步驟5,請確保選擇 "身份驗(yàn)證" 和 "?authpriv?" 作為要監(jiān)視的設(shè)施。?保留 "嚴(yán)重性" 選項(xiàng)的默認(rèn)設(shè)置,以便所有這些選項(xiàng)都處于選中狀態(tài)。?例如:
留出足夠的時(shí)間來收集 syslog 信息。?然后,導(dǎo)航到 "?Azure Sentinel 日志",復(fù)制并粘貼以下查詢:
復(fù)制
Syslog |? where Facility in ("authpriv","auth")| extend c = extract( "Accepted\\s(publickey|password|keyboard-interactive/pam)\\sfor ([^\\s]+)",1,SyslogMessage)| where isnotempty(c) | count更改時(shí)間范圍(如果需要),然后選擇 "運(yùn)行"。
如果生成的計(jì)數(shù)為零,請確認(rèn)連接器的配置,并且被監(jiān)視的計(jì)算機(jī)在您為查詢指定的時(shí)間段內(nèi)具有成功的登錄活動。
如果生成的計(jì)數(shù)大于零,則 syslog 數(shù)據(jù)適用于異常 SSH 登錄檢測。?你可以通過分析?>?規(guī)則模板?>?(預(yù)覽版)進(jìn)行異常 SSH 登錄檢測來啟用此檢測。
后續(xù)步驟
本文檔介紹了如何將 Syslog 本地設(shè)備連接到 Azure Sentinel。?要詳細(xì)了解 Azure Sentinel,請參閱以下文章:
- 了解如何了解你的數(shù)據(jù)以及潛在的威脅。
- 開始通過 Azure Sentinel 檢測威脅。
總結(jié)
以上是生活随笔為你收集整理的使用 Syslog 连接外部解决方案的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 第十二节:WebApi自动生成在线Api
- 下一篇: NuGet是什么?理解与使用(上)