适用于 Microsoft Sentinel 的 F5 Networks 连接器
使用 F5 防火墙连接器,可以将 F5 日志轻松连接到 Microsoft Sentinel,以查看仪表板、创建自定义警报并改进调查。 这样,用户就可以更深入地了解组织的网络并改善安全操作功能。
连接器属性
连接器属性 | 说明 |
---|---|
Log Analytics 表 | CommonSecurityLog (F5) |
数据收集规则支持 | 工作区转换 DCR |
支持的服务 | F5 |
查询示例
所有日志
CommonSecurityLog
| where DeviceVendor == "F5"
| sort by TimeGenerated
按时间汇总
CommonSecurityLog
| where DeviceVendor == "F5"
| summarize count() by TimeGenerated
| sort by TimeGenerated
供应商安装说明
- Linux Syslog 代理配置
安装并配置 Linux 代理,以收集通用事件格式 (CEF) Syslog 消息,并将其转发到 Microsoft Sentinel。
请注意,来自所有区域的数据将存储在所选工作区中
1.1 选择或创建 Linux 计算机
选择或创建一个 Linux 计算机,Microsoft Sentinel 将使用该计算机作为安全解决方案和 Microsoft Sentinel 之间的代理。该计算机可以位于本地环境、Azure 或其他云中。
1.2 在 Linux 计算机上安装 CEF 收集器
在 Linux 计算机上安装 Microsoft Monitoring Agent,然后将计算机配置为侦听所需的端口并将消息转发到 Microsoft Sentinel 工作区。 该 CEF 收集器在端口 514 TCP 上收集 CEF 消息。
- 使用以下命令确保计算机上安装了 Python:python --version。
- 你必须在计算机上拥有提升的权限 (sudo)。
运行以下命令安装并应用 CEF 收集器:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- 将通用事件格式 (CEF) 日志转发到 Syslog 代理
将 F5 配置为通过 Syslog 代理将 Syslog 消息以 CEF 格式转发到 Microsoft Sentinel 工作区。
转到 F5 配置应用程序安全事件日志记录,按照说明使用以下准则来设置远程日志记录:
将“远程存储类型”设置为“CEF”。
将“协议设置”设为 UDP。
将“IP 地址”设置为 Syslog 服务器的 IP 地址。
将“端口号”设置为“514”,或设置为代理使用的端口。
将“facility”设置为你在 Syslog 代理中配置的设施(默认情况下,代理将此项设置为 local4)。
可以将“最大查询字符串大小”设置为与配置的相同。
验证连接
按照说明验证连接性:
打开 Log Analytics,检查是否使用 CommonSecurityLog 架构收到了日志。
连接将数据流式传输到工作区可能大约需要 20 分钟。
如果未收到日志,请运行以下连接验证脚本:
- 使用以下命令确保计算机上安装了 Python:python --version
- 必须在计算机上拥有提升的权限 (sudo)
运行以下命令以验证连接:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- 保护计算机
确保根据组织的安全策略配置计算机的安全性