使用 Syslog 连接外部解决方案

可以将支持 Syslog 的任何本地设备连接到 Azure Sentinel。 这是通过在设备和 Azure Sentinel 之间使用基于 Linux 计算机的代理来完成的。 如果 Linux 计算机位于 Azure 中, 则可以将设备或应用程序中的日志流式传输到在 Azure 中创建的专用工作区, 并进行连接。 如果 Linux 计算机不在 Azure 中, 则可以将设备中的日志流式传输到专用的本地 VM 或计算机上, 以便在其中安装适用于 Linux 的代理。

 备注

如果设备支持 Syslog CEF, 则连接将更完整, 应选择此选项, 并按照连接来自 CEF 的数据中的说明进行操作。

工作原理

Syslog 是普遍适用于 Linux 的事件日志记录协议。 应用程序将发送可能存储在本地计算机或传递到 Syslog 收集器的消息。 安装适用于 Linux 的 Log Analytics 代理后,它将配置本地 Syslog 后台程序,以将消息转发到此代理。 然后,此代理将消息发送到 Azure Monitor,将在后者中创建相应的记录。

有关详细信息,请参阅中的 Syslog 数据源 Azure Monitor。

 备注

代理可以从多个源收集日志, 但必须在专用代理计算机上安装日志。

连接 Syslog 设备

  1. 在 Azure Sentinel 中,选择 "数据连接器",然后选择Syslog连接器。

  2. Syslog边栏选项卡上,选择 "打开连接器" 页面

  3. 安装 Linux 代理:

    • 如果 Linux 虚拟机位于 Azure 中,请选择 "在 Azure Linux 虚拟机上下载并安装代理" 。 在 "虚拟机" 边栏选项卡中,选择要在其上安装代理的虚拟机,然后单击 "连接"。
    • 如果 Linux 计算机不在 Azure 中,请选择 "在 linux 非 azure 计算机上下载并安装代理" 。 在 "直接代理" 边栏选项卡中,复制下载和板载 agent for LINUX的命令并在计算机上运行该命令。

     备注

    请确保根据组织的安全策略配置这些计算机的安全设置。 例如,你可以配置网络设置,使其符合组织的网络安全策略,并更改守护程序中的端口和协议,使其符合安全要求。

  4. 选择 "打开工作区高级设置配置"。

  5. 在 "高级设置" 边栏选项卡中,选择 "数据 > 系统日志"。 然后,添加要收集的连接器的功能。

    添加 syslog 设备在其日志标头中包含的工具。 你可以在/etc/rsyslog.d/security-config-omsagent.conf syslog 中的 syslog 设备上、在文件夹中以及从/etc/syslog-ng/security-config-omsagent.conf r-syslog中查看此配置。

    如果要将异常 SSH 登录检测与收集的数据一起使用,请添加authauthpriv。 有关更多详细信息,请参阅以下部分。

  6. 如果已添加要监视的所有设备,并调整每个设备的任何严重性选项,请选中 "将下面的配置应用到我的计算机" 复选框。

  7. 选择“保存”。

  8. 在 syslog 设备上,确保正在发送指定的设施。

  9. 若要在 syslog 日志的 Azure Monitor 中使用相关架构,请搜索syslog

  10. 您可以使用Azure Monitor 日志查询中的函数中所述的 Kusto 函数来分析 Syslog 消息。 然后,您可以将其另存为新的 Log Analytics 函数,用作一种新的数据类型。

为异常 SSH 登录检测配置 Syslog 连接器

 重要

异常 SSH 登录检测目前为公共预览版。 此功能在提供时没有服务级别协议,不建议用于生产工作负荷。 有关详细信息,请参阅 Microsoft Azure 预览版补充使用条款。

Azure Sentinel 可以将机器学习(ML)应用于 syslog 数据,以确定异常安全外壳(SSH)登录活动。 方案包括:

  • 不可能的旅行–当两个成功登录事件发生在两个位置,而这两个位置无法在两个登录事件的时间范围内到达时。
  • 意外位置–成功登录事件发生的位置可疑。 例如,最近未出现位置。

此检测需要 Syslog 数据连接器的特定配置:

  1. 对于前一过程中的步骤5,请确保选择 "身份验证" 和 " authpriv " 作为要监视的设施。 保留 "严重性" 选项的默认设置,以便所有这些选项都处于选中状态。 例如:

    异常 SSH 登录检测所需的设施

  2. 留出足够的时间来收集 syslog 信息。 然后,导航到 " Azure Sentinel 日志",复制并粘贴以下查询:

    复制

     Syslog |  where Facility in ("authpriv","auth")| extend c = extract( "Accepted\\s(publickey|password|keyboard-interactive/pam)\\sfor ([^\\s]+)",1,SyslogMessage)| where isnotempty(c) | count 
    

    更改时间范围(如果需要),然后选择 "运行"。

    如果生成的计数为零,请确认连接器的配置,并且被监视的计算机在您为查询指定的时间段内具有成功的登录活动。

    如果生成的计数大于零,则 syslog 数据适用于异常 SSH 登录检测。 你可以通过分析 > 规则模板 > (预览版)进行异常 SSH 登录检测来启用此检测。

后续步骤

本文档介绍了如何将 Syslog 本地设备连接到 Azure Sentinel。 要详细了解 Azure Sentinel,请参阅以下文章:

  • 了解如何了解你的数据以及潜在的威胁。
  • 开始通过 Azure Sentinel 检测威胁。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/439010.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

CCIE理论-第十七篇-IPV6-NAT-PT

CCIE理论-第十七篇-IPV6-NAT-PT 这是最后一篇IPV6了,IPV6讲了好久好久了 ipv6的gre还给我上了个热榜哈哈 这一篇讲解IPV6的NAT,IPV6的NAT和IPV4的NAT还是挺多不同的 NAT对于设备的负载是非常大的,因为要记录那个NAT表 分类 这里提一下,因为这个IPV6的NAT在模拟器里面可能有…

CCIE理论-第十八篇-MPLS概念描述

CCIE理论-第十八篇-MPLS概念描述 IPV6是搞完了,就到MPLS了 首先呢有些人会喜欢叫MPLS-VPN 但是请注意 MPLS和VPN,是他吗的两个技术!!! MPLS MPLS呢,也是一种数据的交换方式,不过可能他显得高级那么一点点 VPN应该属于是个人都知道的那种了,虚拟专用网络.简单的说就是梯子 后…

CCNP-第十八篇-ISIS-理论

CCNP-第十八篇-ISIS-理论 ISIS 中间系统到中间系统(ISIS-Intermediate system to intermediate system)是一个分级的链接状态路由协议,基于DECnet PhaseV 路由算法,实际上与OSPF非常相似,它也使用Hello协议寻找毗邻节…

CCNP-第十九篇-ISIS(二)

CCNP-第十九篇-ISIS(二) 首先来个对比的通信机制 首先呢,工作环境中,他没OSPF那么复杂哈,然后 底层启了ISIS,通了就不用管它了 实验环境 注意,上图是错误示范哦! 为什么呢? 为啥呢,前面不是说过ISIS是以路由器为单位的吗? 是的没错但是 L1和L2是无法直接连接到一起去的 …

XCIE-HUAWEI-Cisco-思科-华为-华三堆叠(理论+实操)

XCIE-HUAWEI-Cisco-思科-华为-华三堆叠(理论实操) 首先呢 华为:框式机的堆叠技术称为CSS,盒式机称为iStack。 思科:VSS(对标istck)Flexstack(对标CSS) 锐捷:VSU H3C:不管盒式还是框式,统称为irf 这个盒式设备和框式设备咋理解呢? 华为:https://forum.…

云计算-Linux-云计算是啥.什么是Linux-小白

云计算-Linux-云计算是啥.什么是Linux-小白 20年前说到这个词,你这骗人的吧? 那就是2000年的那场IT峰会了 谁呢 深圳腾 搜索宏 杭州马 到后来,马云回到了阿里巴巴 这个云厂商的第一呢,就是亚马逊的了. 就像数通里面的思科那种感觉了 在这里呢,除了华为和百度和腾讯云用的多…

ABP入门系列(1)——通过模板创建MAP版本项目

一、从官网创建模板项目 进入官网下载模板项目 依次按下图选择: 输入验证码开始下载 下载提示: 二、启动项目 使用VS2015打开项目,还原Nuget包: 设置以Web结尾的项目,设置为启动项目: …

云计算-Linux-VMware安装Centos

云计算-Linux-VMware安装Centos 首先这个,介绍一下哈,VMware是常见的虚拟机的承载平台 对应的还有这个ESXI,vmware vsphere等 对于我们个人用户来说,都是这个VMware workstations比较多的 VM安装包百度网盘如下(永久) 链接:https://pan.baidu.com/s/1XquCdbMsX0gjJ…

ABP入门系列(2)——领域层创建实体

这一节我们主要和领域层打交道。首先我们要对ABP的体系结构以及从模板创建的解决方案进行一一对应。网上有代码生成器去简化我们这一步的任务,但是不建议初学者去使用。 一、首先来看看ABP体系结构 ABP体系结构 领域层就是业务层,是一个项目的核心&…

云计算-Linux-远程连接,Linux岗位介绍

云计算-Linux-远程连接,Linux岗位介绍 使用Xshell,CRT等工具,可以连接到linux主机里面,SSH是默认打开的, 然后就不需要这个在vm里面的那个窗口操作,可以在这个软件里面直接操作 以这个xshell为例子 直接ssh ip地址即可 这个呢机器装完了,就讲讲这个linux的岗位介绍吧 这个的…

云计算-Linux系统基本概念,命令终端字段含义介绍,命令行格式介绍

云计算-Linux系统基本概念,命令终端字段含义介绍,命令行格式介绍 Linux系统的概念 1.多用户系统,允许多个用户登录系统,使用系统的资源(跟windows不一样,比如RDP远程连接,他只能一个用户在,其他用户上来就把他挤掉了) 最高是65535,因为端口一共就这么多,不过实际上不会这样干…

三层架构与MVC的区别

我们平时总是将混为一谈,殊不知它俩并不是一个概念。下面我来为大家揭晓我所知道的一些真相。 首先,它俩根本不是一个概念。 三层架构是一个分层式的软件体系架构设计,它可适用于任何一个项目。 MVC是一个设计模式,它是根据项目的…

云计算-Linux文件类型介绍,归属关系,基本权限介绍

云计算-Linux文件类型介绍,归属关系,基本权限介绍 这个点我是真滴不困好吧,学习吧那就~ 隐藏文件 上一章没有讲,这个呢,ls -a的命令他是可以显示隐藏的文件的,那问题来了,在windows里面我们可以看到的隐藏文件是暗色的,那么Linux里面的是? 是这样的哦 在Linux里面,文件的前面…

为什么DDD是设计微服务的最佳实践

在本人的前一篇文章《不要把微服务做成小单体》中,现在很多的微服务开发团队在设计和实现微服务的时候觉得只要把原来的单体拆小,就是微服务了。但是这不一定是正确的微服务,可能只是一个拆小的小单体。这篇文章让我们从这个话题继续&#xf…

浅析DDD(领域驱动设计)

最近在做一些微服务相关的设计,内容包括服务的划分,Restful API的设计等。其中比较棘手的就是Service的职责划分:如何抽象具有统一业务范畴的Model,使其模块化,又如何高度提炼并组合多模块,使得业务可独立服…

Microsoft Azure 中的 SharePoint Server 2013 灾难恢复

摘要: 使用 Azure,你可以为内部部署 SharePoint 服务器场创建灾难恢复环境。本文介绍如何设计和实施此解决方案。 观看 SharePoint Server 2013 灾难恢复概述视频 当灾难袭击你的 SharePoint 内部部署环境时,头等大事是迅速使系统恢复运行。…

ELK Stack 与 Elastic Stack 的异同点

在很多场合,都可以看到 ELK Stack 或者是 Elastic Stack 的介绍,大多数人都会产生疑问,这两者到底有什么区别?本文将介绍 ELK Stack 与 Elastic Stack 的异同点。 什么是 ELK Stack 那么,什么是 ELK ? “…

详解日志采集工具--Logstash、Filebeat、Fluentd、Logagent对比

概述 常见的日志采集工具有Logstash、Filebeat、Fluentd、Logagent、rsyslog等等,那么他们之间有什么区别呢?什么情况下我们应该用哪一种工具? Logstash Logstash是一个开源数据收集引擎,具有实时管道功能。Logstash可以动态地将来自不同数据源的数据…

云计算-Linux-计算机硬件组成介绍-Linux系统目录介绍

云计算-Linux-计算机硬件组成介绍-Linux系统目录介绍 计算机硬件组成部分 这个感觉就真滴教超级小白了,但是还是讲讲吧 虽然我也感觉在这个地方讲怪怪的 输出设备:鼠标,键盘,触控板 主机设备:主机,CPU,内存,网卡,声卡,显卡 输出设备:屏幕,耳机,打印机 外部存储设备:硬盘,u盘…

rsyslog syslog详解

前言: rsyslog 是一个 syslogd 的多线程增强版。syslog是Linux系统默认的日志守护进程。默认的syslog配置文件是/etc/syslog.conf文件。程序,守护进程和内核提供了访问系统的日志信息。因此,任何希望生成日志信息的程序都可以向 syslog 接口…