Einführung
Sie senden Syslog-Protokolldaten mithilfe einer Datensammlungsregel (Data Collection Rule, DCR) des Azure Monitor-Agents an den Microsoft Sentinel-Arbeitsbereich.
Sie sind als Security Operations Analyst für ein Unternehmen tätig, das Microsoft Sentinel implementiert hat. und müssen Protokolldaten von lokalen Netzwerkappliances erfassen. Die Daten der Netzwerkappliances werden unstrukturiert bereitgestellt.
Sie installieren einen lokalen Linux-Host, der als Weiterleitung fungiert und die Protokolldaten sendet. Als Nächstes befolgen Sie die Anweisungen zum Installieren des Azure Connected Machine-Agents, mit dem Sie Ihre außerhalb von Azure gehosteten (Windows- und) Linux-Computer in Ihrem Unternehmensnetzwerk mit Azure Arc verwalten können. Nachdem Sie die Azure Arc-Konnektivität überprüft haben, können Sie die Linux-Agent-Erweiterung für Azure Monitor installieren und während dieses Prozesses eine Syslog-Datensammlungsregel für Azure Monitor erstellen. Der letzte Schritt besteht darin, die Netzwerkappliances so zu konfigurieren, dass sie ihre Protokolle an Ihren Linux-Host weiterleiten.
Die Netzwerkappliances senden jetzt Protokolle an den neuen Linux-Host, und der Linux-Host leitet die Protokolle dann über die Datensammlungsregel des Azure Monitor-Agents an den Microsoft Sentinel-Arbeitsbereich weiter. Sie erstellen in Microsoft Sentinel mithilfe einer KQL-Funktion einen Parser, um dem SecOps-Team das Abfragen der Protokolldatensätze mit den unstrukturierten Zeichenfolgendaten zu erleichtern.
Nach Abschluss dieses Moduls können Sie folgende Aufgaben durchführen:
- Beschreiben der Datensammlungsregel (DCR) des Azure Monitor-Agents für Syslog
- Die Linux-Agent-Erweiterung für Azure Monitor mit Syslog DCR installieren und konfigurieren
- Bereitstellungs- und Verbindungsskripte für Azure Arc für Linux ausführen
- Die Verfügbarkeit von Syslog-Protokolldaten in Microsoft Sentinel überprüfen
- Erstellen eines Parsers mithilfe der Kusto-Abfragesprache in Microsoft Sentinel
Voraussetzungen
- Grundkenntnisse zu operativen Konzepten, wie z. B. Überwachung, Protokollierung und Warnungen
- Vertrautheit mit Linux-Vorgängen und der Überwachung