[Microsoft Sentinel] AMA 커넥터를 사용하여 "Microsoft Sentinel" 스트림 CEF 로그 전달-1 (rsyslog서버 구성)

구성도

테스트한 서버는 아래와 같습니다. 

• Linux device : ubuntu20
• Linux log forwarder : ubuntu 20

전제 조건

이 테스트는 AMA 에이전트를 통해 리눅스의 CEF로그를 센티넬의 Log analytics workspace로 보내는 테스트입니다.

그렇기 때문에 아래의 전제조건이 요구됩니다.

* Sentinel이 활성되어 있어야 합니다.

AMA 에이전트 설치를 위한 전제 조건

• 에이전트를 배포 및 데이터 수집 규칙을 생성하기 위한 다음의 역할이 있는 Azure 계정

• Log Analytics 작업 영역
• 로그 수집을 위한 Linux 머신
  • Linux 요구 버전
    • https://learn.microsoft.com/en-us/azure/azure-monitor/agents/agents-overview#linux 
  • Linux 머신에 python2나 3이 설치되어 있어야 함
    
    • 확인 명령어
      • python3 --version 
      • python --version
• 포워더 서버 (nsg로 네트워크 트래픽 필터링 설정)
  • inbound 541 port open
  • outbound 443 port open

Linux syslog Forwader 서버 구성

1. 관리자 권한 모드로 작업을 원칙으로 합니다.
2. apt install netstat netstat -ano
   • netstat 명령어로 네트워크 연결 상태, 라우팅 테이블, 인터페이스 상태 확인할 수 있습니다.
   • tcp, udp 용 포트 514 활성화 nano /etc/rsyslog.conf → 빨간색 부분 주석 해제 vim, vi, nano 사용 가능합니다.
3. 네트워크 인터페이스 거치는 패킷 캡쳐합니다. 이를 통해서, syslog 디바이스에서  syslog 서버로 로그가 전달되는지 확인 할 수 있습니다. 
   • tcpdump -i eth0 port 514  
     • eth0 인터페이스를 통과하는 포트 514의 트래픽을 캡처합니다.
4. 설정 후 systemctl을 reststart 합니다.
   • systemctl restart rsyslog
   • systemctl status rsyslog
5. 로그 트래킹을 하는 명령어를 통해 cef로 전달되는 로그를 확인할 수 있습니다.
   
   1. tail -f user.log
   2. user.log 없는 경우 (var/log/message 없는 경우)
      • sudo vi /etc/rsyslog.d/50-default.conf → 아래 주석 해제

네트워크 설정

Inbound

 

Outbound

---

참고 링크

• Rsyslog 구성
  • https://servermon.tistory.com/535