Azure Sentinel - エンジニアの何でもメモ帳

Azure Sentinel の問い合わせが多いと聞いたので少し調べてみる。

Azure Sentinel は、Azure 上の SIEM (Security Information and Event Management) 製品。

Azure の場合は、ドキュメントがすごくわかりやすく、必要そうな情報がきちんとまとまっている気がする。

基本のドキュメントは、以下からたどれるようになっている。

[blogcard url="https://docs.microsoft.com/ja-jp/azure/sentinel/"]

Sentinel では、Sentinel に統合できるデータ（ログ）のソースを「データソース」と呼んでいる。

「データソース」の種類によって３つのデータの統合方法がある。

Azure や Microsoft のサービスであれば、簡単に統合できる
MS 製品以外からログを統合したい場合は、Azure Sentinel は、"Azure Log Analytics" というデータの入り口を持っていて、そこに API を使ってログ・データを送る事ができる。
上記とほぼ同じ仕組みになるが、"Azure Log Analytics" に対して、syslog でプロトコルで接続し、 CEF (Common Event Format) を使ってデータを送信するタイプ。

該当するドキュメントを見る限り、API を使って送り込むが CEF/syslog で送り込むかの２つ。カスタムなログを CEFなどに変換して取り込む Agent or アダプター的なものは現時点ではなさそう(多分)。

[blogcard url="https://docs.microsoft.com/ja-jp/azure/sentinel/connect-data-sources"]

syslog のフォーマットで CEF ？と思ったので少し調査

まず syslog のフォーマット自体が2種類ある

BSD 形式 RFC3164 - 規格ではなく、その時点で使われていた習慣をまとめたものとの事。RFC の前書きにも「This document describes the observed behavior of the syslog protocol (観察された動きを記述するもの) 」とある。
PRI + HEADER + MSG の形式

PRI (Priority) は　(Facility * 8 + Severity) で計算される。

そして syslog 内にメッセージ部分があり、この MSG (メッセージ) の部分は、ユニーコードであれば、フリーフォーマットでメッセージを書いてもいいのだが、SIEM の世界ではここのフォーマットを規格しようという動きがあり、2つのフォーマットがメジャーである。

LEEF (Log Event Extended Format) 形式 - IBM QRadar 用のフォーマット UTF-8 を使用する必要がある。特定ベンダー(IBM) のフォーマットだが、ネットワーク機器が標準で対応している場合がある。
CEF (Common Event Format) 形式 - Security、非セキュリティベンダー関係なく一般的になっているフォーマット。

Which log format is best for syslog , CEF or LEEF　CEF と LEEF の違いについて
BSD-syslog メッセージフォーマット【2019/3/28 修正】ジュピターテクノロジーさんのブログ。BSD Syslog のフォーマットについて。
IETF-syslog(RFC 5424)メッセージフォーマット　ジュピターテクノロジーさんのブログ。IETF Syslog のフォーマットについて。
syslogプロトコル再入門～フォーマット(BSD/IETF形式),Facility/Severity一覧,Ciscoの設定～　SE の道標。syslog のフォーマットについて詳細な説明。BSD / IETF の両方をカバー