我正在尝试集成 Azure Sentinel 和 Crowdstrike。我在 Azure 中设置了一个运行 Ubuntu 18.04 的 VM,并遵循了 Microsoft 和 Crowdstrike 提供的供应商安装指南。但是,运行此故障排除命令时收到错误:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
错误是“无法在 tcpdump 中找到 CEF 消息。请确保在机器的内部防火墙上启用了到端口 514 上的 syslog 守护程序的流量和到端口 25226 上的 OMS 代理的流量。”
故障排除过程的一部分涉及运行命令sudo tcpdump -A -ni any port 25226 -vv
和sudo tcpdump -A -ni any port 25226 -vv
。这两个命令都没有给出任何输出,我最初认为这可能是由于网络问题。但是,我已创建防火墙规则以允许流量到两个端口,据我所知,没有任何东西被阻止。
我导航到 Sentinel 并运行 CommonSecurityLog,发现每次运行故障排除命令时都会从虚拟机收到模拟消息。我还看到 Sentinel 中的 CEF 数据连接器显示为“已连接”。
我已经三次检查了应该包含的守护进程配置if $rawmsg contains "CEF:" or $rawmsg contains "ASA-" then @@127.0.0.1:25226
。
我也尝试过清除并重新安装 omsagent,但目前没有任何效果。
我不确定这是否与问题有关,但我设置了另一台虚拟机并连接到完全相同的工作区。我是否需要两个不同的工作区,每个虚拟机一个。如果是这样,我可以将这两个工作区连接到同一个 Sentinel 空间吗?