Azure Monitor エージェントを使用して syslog と CEF のメッセージを Microsoft Sentinel に取り込む

2024-08-07
適用対象: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

この記事では、AMA 経由の Syslog コネクタと AMA 経由の Common Event Format (CEF) コネクタを使って、Linux マシンから、またネットワークとセキュリティデバイスおよびアプライアンスから、Common Event Format (CEF) のものを含む syslog メッセージをすばやくフィルター処理して取り込む方法について説明します。これらのデータコネクタの詳細については、「Microsoft Sentinel 用の AMA を介した Syslog と AMA を介した Common Event Format (CEF)」を参照してください。

注

Container Insights では、AKS クラスター内の Linux ノードからの Syslog イベントの自動収集をサポートするようになりました。詳細については、「Container Insights を使用した Syslog 収集」を参照してください。

前提条件

開始する前に、このセクションで説明するようにリソースを構成し、適切なアクセス許可を割り当てる必要があります。

Microsoft Sentinel の前提条件

適切な Microsoft Sentinel ソリューションをインストールし、この記事の手順を完了するためのアクセス許可があることを確認します。

Microsoft Sentinel の [コンテンツハブ] から適切なソリューションをインストールします。詳細については、「Microsoft Sentinel のそのまま使えるコンテンツを検出して管理する」を参照してください。
AMA 経由の Syslog と AMA 経由の Common Event Format (CEF) のうち、どちらのデータコネクタが Microsoft Sentinel ソリューションに必要か、また Syslog と Common Event Format のどちらのソリューションをインストールする必要があるかを特定します。この前提条件を満たすために:
- [コンテンツハブ] で、インストールされているソリューションの [管理] を選択し、一覧表示されるデータコネクタを確認します。
- ソリューションと共に AMA 経由の Syslog または AMA 経由の Common Event Format (CEF) がインストールされていない場合は、次のいずれかの記事からアプライアンスまたはデバイスを見つけて、Syslog と Common Event Format のどちらのソリューションをインストールする必要があるかを特定します。
  - AMA データコネクタ経由の CEF - Microsoft Sentinel データインジェスト用に特定のアプライアンスまたはデバイスを構成する
  - AMA データコネクタ経由の Syslog - Microsoft Sentinel データインジェスト用に特定のアプライアンスまたはデバイスを構成する
  次に、Syslog または Common Event Format のソリューションをコンテンツハブからインストールして、関連する AMA データコネクタを取得します。

次の Azure ロールベースのアクセス制御 (Azure RBAC) の各ロールを持つ Azure アカウントが必要です。

組み込みのロール	範囲	理由
- 仮想マシン共同作成者 - Azure 接続済みマシンリソース管理者	仮想マシン (VM) 仮想マシンスケールセット Azure Arc 対応サーバー	エージェントをデプロイするため
次のアクションを含む任意のロール Microsoft.Resources/deployments/*	サブスクリプションリソースグループ既存のデータ収集ルール	Azure Resource Manager テンプレートをデプロイするには
モニタリング協力者	サブスクリプションリソースグループ既存のデータ収集ルール	データ収集ルールを作成または編集するには

ログフォワーダーの前提条件

ログフォワーダーからメッセージを収集する場合は、次の前提条件が適用されます。

ログを収集するには、指定された Linux VM (ログフォワーダー) が必要です。
- Azure portal で Linux VM を作成する。
- Azure Monitor エージェントでサポートされている Linux オペレーティングシステム。
ログフォワーダーが Azure 仮想マシン "でない" 場合、Azure Arc Connected Machine エージェントがインストールされている必要があります。
Linux ログフォワーダー VM に Python 2.7 または 3 がインストールされている必要があります。 python --version または python3 --version コマンドを使用して確認してください。 Python 3 を使用している場合は、マシンで既定のコマンドとして設定されていることを確認するか、'python' ではなく 'python3' コマンドを使用してスクリプトを実行します。
ログフォワーダーでは、syslog-ng または rsyslog デーモンのいずれかが有効になっている必要があります。
ログフォワーダーの領域要件については、「Azure Monitor エージェントのパフォーマンスベンチマーク」を参照してください。また、スケーラブルなインジェストの設計に関する記載を含むこのブログ投稿も確認することをお勧めします。
ログソース、セキュリティデバイス、アプライアンスは、ローカルの syslog デーモンではなく、ログフォワーダーの syslog デーモンにログメッセージを送信するように構成する必要があります。

注

AMA を Virtual Machine Scale Sets (VMSS) にデプロイする場合は、ラウンドロビン方式をサポートするロードバランサーを使用して、デプロイされたすべてのインスタンスへの負荷分散を確保することを強くお勧めします。

マシンのセキュリティの前提条件

組織のセキュリティポリシーに従って、マシンのセキュリティを構成してください。たとえば、企業のネットワークセキュリティポリシーに合わせてネットワークを構成し、デーモンのポートとプロトコルを要件に合わせて変更することができます。マシンのセキュリティ構成を向上させるには、Azure で VM をセキュリティで保護するか、ネットワークセキュリティに関するこれらのベストプラクティスを確認してください。

ログフォワーダーがクラウドにあるなどの理由で、デバイスが TLS 経由で syslog および CEF ログを送信する場合は、TLS で通信するように syslog デーモン (rsyslog または syslog-ng) を構成する必要があります。詳細については、以下を参照してください:

データコネクターを構成する

AMA 経由の Syslog データコネクタまたは AMA 経由の Common Event Format (CEF) データコネクタの設定プロセスには、次の 2 つの手順が含まれます。

次のいずれかの方法で、Azure Monitor エージェントをインストールし、データ収集ルール (DCR) を作成します。
- Azure または Defender ポータル
- Azure Monitor ログインジェスト API
ログフォワーダーを使って他のマシンからログを収集する場合は、ログフォワーダーで "インストール" スクリプトを実行して、他のマシンからのメッセージをリッスンするように syslog デーモンを構成し、必要なローカルポートを開きます。

手順に適したタブを選択します。

Azure または Defender ポータル
ログインジェスト API

データ収集ルール (DCR) を作成する

はじめに、Microsoft Sentinel で [AMA 経由の Syslog] または [AMA による Common Event Format (CEF)] データコネクタを開いて、データ収集ルール (DCR) を作成します。

Azure portal の Microsoft Sentinel の場合、[構成] の下にある [データコネクタ] を選びます。
Defender ポータルの Microsoft Sentinel の場合は、[Microsoft Sentinel]>[構成]>[データコネクタ] を選びます。
Syslog の場合、[検索] ボックスに「Syslog」と入力します。結果から AMA 経由の Syslog コネクタを選びます。
CEF の場合、[検索] ボックスに「CEF」と入力します。結果から、AMA 経由の Common Event Format (CEF) コネクタを選びます。
詳細ウィンドウで [コネクタページを開く] を選択します。
[構成] 領域で、[+データ収集ルールの作成] を選びます。
[基本] タブで次の操作を行います。
- DCR 名を入力します。
- サブスクリプションを選択します。
- DCR を置くリソースグループを選びます。
[次へ: リソース]> を選択します。

VM のリソースの定義

[リソース] タブで、AMA をインストールするマシン (この場合はログフォワーダーマシン) を選択します。ログフォワーダーが一覧に表示されない場合は、Azure Connected Machine エージェントがインストールされていない可能性があります。

使用可能なフィルターまたは検索ボックスを使用して、ログフォワーダー VM を見つけます。一覧でサブスクリプションを展開するとそのリソースグループを表示でき、リソースグループを展開するとその VM を表示できます。
AMA をインストールするログフォワーダー VM を選択します。 VM 名にマウスポインターを合わせると、その横にチェックボックスが表示されます。
変更内容を確認し、[Next: Collect > (次へ: 収集 >) を選択します。

機能と重大度の選択

syslog メッセージと CEF メッセージの両方に同じ機能を使用すると、データインジェストで重複が発生する場合があります。詳細については、「データインジェストの重複を回避する」を参照してください。

[収集] タブで、各機能の最小ログレベルを選択します。ログレベルを選択すると、Microsoft Sentinel によって、選択したレベルと、重大度がより高いその他のレベルのログが収集されます。たとえば、[LOG_ERR] を選択すると、Microsoft Sentinel によって、LOG_ERR、LOG_CRIT、LOG_ALERT、LOG_EMERG レベルのログが収集されます。
選択内容を確認し、[次へ: 確認と作成] を選択します。

ルールを確認して作成する

すべてのタブを完了したら、入力した内容を確認し、データ収集ルールを作成します。

[レビューと作成] タブで、 [作成] を選択します。

コネクタにより、DCR の作成時に選択したマシンに Azure Monitor エージェントがインストールされます。
Azure portal または Microsoft Defender ポータルで通知を確認し、DCR が作成されてエージェントがインストールされるタイミングを確認します。
コネクタページで [最新の情報に更新] を選択して、DCR が一覧に表示されていることを確認します。

Azure Monitor エージェントのインストール

Azure Monitor のドキュメントの適切な手順に従って、ログフォワーダーに Azure Monitor エージェントをインストールします。 Windows 用ではなく、必ず Linux 用の手順を使用してください。

Azure Monitor ログインジェスト API を使用して、データ収集ルール (DCR) を作成できます。詳細については、「Azure Monitor のデータ収集ルール」を参照してください。

データ収集ルールを作成する

データ収集ルールの JSON ファイルを作成し、API 要求を作成して、要求を送信します。

JSON 形式で DCR ファイルを準備します。このファイルの内容は、API 要求の要求本文になります。

例については、「Syslog/CEF DCR 作成要求本文」をご覧ください。同じデータ収集ルールで syslog メッセージと CEF メッセージを収集するには、「同じ DCR での Syslog と CEF のストリーミング」の例を参照してください。
- streams フィールドが、syslog メッセージの場合は Microsoft-Syslog に、CEF メッセージの場合は Microsoft-CommonSecurityLog に設定されていることを確認します。
- facilityNames と logLevels パラメーターにフィルターと機能のログレベルを追加します。「機能とログレベルのセクションの例」を参照してください。
任意の REST API クライアントで API 要求を作成します。
1. 要求 URL とヘッダーについては、次の要求 URL とヘッダーをコピーします。
```
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}?api-version=2022-06-01
```
  - {subscriptionId} と {resourceGroupName} プレースホルダーは適切な値に置き換えます。
  - {dataCollectionRuleName} プレースホルダーの代わりに、DCR の任意の名前を入力します。
2. 要求本文については、(上のステップ 1 で) 作成した DCR JSON ファイルの内容をコピーして、要求本文に貼り付けます。
要求を送信します。

受信する必要がある応答の例については、「Syslog/CEF DCR 作成応答」をご覧ください。

DCR をログフォワーダーに関連付ける

次に、ログフォワーダーをホストする VM リソースに DCR を結び付ける DCR の関連付け (DCRA) を作成する必要があります。

任意の REST API クライアントで API 要求を作成します。
要求 URL とヘッダーについては、次の要求 URL とヘッダーをコピーします。
```
PUT 
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{virtualMachineName}/providers/Microsoft.Insights/dataCollectionRuleAssociations/{dataCollectionRuleAssociationName}?api-version=2022-06-01
```
- {subscriptionId}、{resourceGroupName}､{virtualMachineName} プレースホルダーを適切な値に置き換えます。
- {dataCollectionRuleAssociationName} プレースホルダーの代わりに、DCR の任意の名前を入力します。
要求本文については、次の要求本文をコピーします。
```
{
  "properties": {
    "dataCollectionRuleId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Insights/dataCollectionRules/{dataCollectionRuleName}"
  }
}
```
- {subscriptionId} と {resourceGroupName} プレースホルダーは適切な値に置き換えます。
- {dataCollectionRuleName} プレースホルダーの代わりに、DCR の任意の名前を入力します。
要求を送信します。

機能とログレベルのセクションの例

機能とログレベルの設定について、次の例をご確認ください。 name フィールドにはフィルター名が含まれます。

CEF メッセージのインジェストの場合、"streams" の値は "Microsoft-CommonSecurityLog" ではなく "Microsoft-Syslog" にする必要があります。

この例では、cron、daemon、local0、local3、および uucp の各機能から Warning、Error、Critical、Alert、および Emergency の各ログレベルのイベントを収集します。

    "dataSources": {
      "syslog": [
        {
        "name": "SyslogStream0",
        "streams": [
          "Microsoft-Syslog"
        ],
        "facilityNames": [ 
          "cron",
          "daemon",
          "local0",
          "local3", 
          "uucp"
        ],
        "logLevels": [ 
          "Warning", 
          "Error", 
          "Critical", 
          "Alert", 
          "Emergency"
        ]
      }
    ]
  }

同じ DCR での Syslog と CEF のストリーミング

この例では、同じ DCR で syslog と CEF のメッセージを収集する方法を示します。

DCR は、次の場合に CEF イベントメッセージを収集します。

authpriv、mark、Info、Notice、Warning、Error、および Critical の各ログレベルの Alert および Emergency 機能
daemon、Warning、Error、Critical、および Alert の各ログレベルの Emergency 機能

次の場合に syslog イベントメッセージを収集します。

kern、local0、および local5 の各ログレベルの news、Critical、Alert、および Emergency 機能
mail ログレベルの uucp および Emergency 機能

    "dataSources": {
      "syslog": [
        {
          "name": "CEFStream1",
          "streams": [ 
            "Microsoft-CommonSecurityLog"
          ],
          "facilityNames": [ 
            "authpriv", 
            "mark"
          ],
          "logLevels": [
            "Info",
            "Notice", 
            "Warning", 
            "Error", 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "CEFStream2",
          "streams": [ 
            "Microsoft-CommonSecurityLog"
          ],
          "facilityNames": [ 
            "daemon"
          ],
          "logLevels": [ 
            "Warning", 
            "Error", 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "SyslogStream3",
          "streams": [ 
            "Microsoft-Syslog"
          ],
          "facilityNames": [ 
            "kern",
            "local0",
            "local5", 
            "news"
          ],
          "logLevels": [ 
            "Critical", 
            "Alert", 
            "Emergency"
          ]
        },
        {
          "name": "SyslogStream4",
          "streams": [ 
            "Microsoft-Syslog"
          ],
          "facilityNames": [ 
            "mail",
            "uucp"
          ],
          "logLevels": [ 
            "Emergency"
          ]
        }
      ]
    }

"インストール" スクリプトを実行する

ログフォワーダーを使用している場合、他のマシンからのメッセージをリッスンするように syslog デーモンを構成し、必要なローカルポートを開きます。

コネクタページで、[次のコマンドを実行して、CEF コレクターをインストールして適用します] の下に表示されるコマンドラインをコピーします。

ここからコピーすることもできます。
```
sudo wget -O Forwarder_AMA_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Forwarder_AMA_installer.py&&sudo python Forwarder_AMA_installer.py
```
AMA をインストールしたばかりのログフォワーダーマシンにサインインします。
最後の手順でコピーしたコマンドを貼り付けて、インストールスクリプトを起動します。
スクリプトは、必要なプロトコルを使用するように rsyslog または syslog-ng デーモンを構成し、デーモンを再起動します。このスクリプトは、UDP および TCP プロトコルの両方で受信メッセージをリッスンするために、ポート 514 を開きます。この設定を変更するには、マシン上で実行されているデーモンの種類に応じて syslog デーモンの構成ファイルを参照してください。
- Rsyslog: /etc/rsyslog.conf
- Syslog-ng: /etc/syslog-ng/syslog-ng.conf
Python 3 を使用していて、それがマシンで既定のコマンドとして設定されていない場合は、貼り付けたコマンドで python3 を python に置き換えてください。「ログフォワーダーの前提条件」を参照してください。

注

エージェントが機能できないディスクがいっぱいになるシナリオを回避するため、不要なログを格納しないように syslog-ng または rsyslog の構成を設定することをお勧めします。ディスクがいっぱいになるシナリオでは、インストールされている AMA の機能が中断されます。詳細については、「RSyslog」または「Syslog-ng」を参照してください。

セキュリティデバイスまたはアプライアンスを構成する

次のいずれかの記事に進み、セキュリティデバイスまたはアプライアンスを構成するための具体的な手順を参照してください。

アプライアンスやデバイスに関する詳しい情報、または情報を入手できない場合については、ソリューションプロバイダーにお問い合わせください。

接続をテストする

Linux マシンまたはセキュリティデバイスとアプライアンスからのログメッセージが Microsoft Sentinel に取り込まれたことを確認します。

syslog デーモンが UDP ポートで実行されていること、および AMA がリッスンしていることを検証するには、次のコマンドを実行します。
```
netstat -lnptv
```
rsyslog または syslog-ng デーモンがポート 514 でリッスンしていることが示されます。
ロガーまたは接続されているデバイスから送信されたメッセージをキャプチャするには、バックグラウンドで次のコマンドを実行します。
```
tcpdump -i any port 514 -A -vv &
```
検証が完了したら、tcpdump を入力し、fg+ を選択してを停止することをお勧めします。
デモメッセージを送信するには、次の手順を実行します。
- netcat ユーティリティを使用します。この例では、ユーティリティは、改行スイッチをオフにして、echo コマンドで投稿されたデータを読み取ります。次に、このユーティリティは、タイムアウトなしで localhost の UDP ポート 514 にデータを書き込みます。 netcat ユーティリティを実行するには、別のパッケージをインストールすることが必要な場合があります。
```
echo -n "<164>CEF:0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time" | nc -u -w0 localhost 514
```
- ロガーを使用します。この例では、ローカルホスト上のポート local 4 に対して重大度レベル Warning で 514 機能に CEF RFC 形式でメッセージを書き込みます。 -t と --rfc3164 フラグは、予期されている RFC 形式に準拠するために使用されます。
```
logger -p local4.warn -P 514 -n 127.0.0.1 --rfc3164 -t CEF "0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time"
```

コネクタが正しくインストールされていることを確認するには、次のコマンドのいずれかを使用してトラブルシューティングスクリプトを実行します。

CEF ログの場合は、次を実行します。

 sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --cef

Cisco Adaptive Security Appliance (ASA) ログの場合は、次を実行します。

sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --asa

Cisco Firepower Threat Defense (FTD) ログの場合は、次を実行します。

sudo wget -O Sentinel_AMA_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/Syslog/Sentinel_AMA_troubleshoot.py&&sudo python Sentinel_AMA_troubleshoot.py --ftd