Micosoft Sentinelの分析取込
CEF(Common Event Format)形式のログをrsyslogで受け取り、Log Analyticsではなく、Sentinelで取り込む検証をしてみます。
通常、Log Analyticsで取り込むとログのヘッダー部分は、カラム別に格納してくれますが、メッセージ部分はプレーンのまま、まるっと残っています。しかし、Sentitnelを使用すれば、いい感じにメッセージ部分をカラム別に分析してくれます。
下記urlを参考に検証を行います。
事前にLog Analyticsワークスペースを作り、Sentinelの作成時にリンクします。CEF形式ログを取り込みするため、その他のデータコネクタ、コンテンツハブに移動を押下します。
Common Event Formatをインストールします。
コネクタページを開くを押下します。
ここに来るまでには前提条件は無条件でクリアしているので省略します。構成のデータ収集ルール(DCR)の作成を実施します。
DCRには、ファシリティ local0、local1を割り当てました。このファシリティでCEF形式を待ち受けます。
最後に、「次のコマンドを実行し、CEFコレクターをインストールして適用します」下のコマンドをコピーし、収集対象のマシン内で実行します。エラーなく実行されればOKです。
よく考えたら、CEF形式にてログを出力してくれる手持ちのネットワーク機器はありませんでした!
というわけでloggerコマンドでCEF形式にて送信してみます。
logger -p local0.warn -P 514 -n 127.0.0.1 --rfc3164 -t CEF "0|Mock-test|MOCK|common=event-format-test|end|TRAFFIC|1|rt=$common=event-formatted-receive_time"数分後、グラフの数値が0だったのが1件以上になりました。因みに、CEF形式でなければSentinelでログを受け取りません。
Log Analyticsにて受信したログを確認します。テーブル名は、CommonSecurityLogのようです。
比較のために、同じログをSyslogでも受信していました。
はい、SyslogMessagesの内容がまるっと残っていますが、Sentinelではカラム別に分けられていますね。
