انتقل إلى المحتوى

IBM QRadar عبر Fluentd

توفر لك هذه التعليمات مثالاً للتكامل بين Wallarm وجامع البيانات Fluentd لإعادة توجيه الأحداث إلى نظام إدارة أحداث ومعلومات الأمان QRadar.

The most common logging scheme in complex systems consists of the following components:

  • Data collector: accepts logs from several sources and forwards logs to the SIEM system

  • SIEM system or log management systems: used to analyze logs and monitor the system status

سير عمل Webhook

الموارد المستخدمة

Wallarm Cloud IP addresses

To provide Wallarm Cloud access to your system, you may need a list of its public IP addresses:

35.235.66.155
34.102.90.100
34.94.156.115
35.235.115.105
34.94.85.217
34.94.51.234
34.102.59.122
34.94.238.72

34.141.230.156
34.91.138.113
34.90.114.134
35.204.127.78

بما أن الروابط المشار إليها لخدمات Fluentd وQRadar هي مثالية، فإنها لا تستجيب.

تهيئة Fluentd

بما أن Wallarm يرسل السجلات إلى جامع البيانات المتوسط Fluentd عبر webhooks، يجب أن تلبي تهيئة Fluentd المتطلبات التالية:

  • قبول طلبات POST أو PUT

  • قبول طلبات HTTPS

  • امتلاك عنوان URL عام

  • إعادة توجيه السجلات إلى IBM Qradar، ويستخدم هذا المثال الإضافة remote_syslog لإعادة توجيه السجلات

يتم تهيئة Fluentd في ملف td-agent.conf:

  • يتم تهيئة معالجة الويب هوك الواردة في توجيه source:

    • يتم إرسال الحركة إلى المنفذ 9880
    • Fluentd مُهيأ لقبول الاتصالات HTTPS فقط
    • شهادة TLS Fluentd الموقعة من قبل CA موثوق بها علنًا توجد ضمن الملف /etc/ssl/certs/fluentd.crt
    • يوجد المفتاح الخاص لشهادة TLS ضمن الملف /etc/ssl/private/fluentd.key

  • يتم تهيئة إعادة توجيه السجلات إلى QRadar وإخراج السجل في توجيه match:

    • يتم نسخ جميع سجلات الأحداث من Fluentd وإعادة توجيهها إلى QRadar على عنوان IP https://109.111.35.11:514
    • يتم إعادة توجيه السجلات من Fluentd إلى QRadar بتنسيق JSON وفقًا لمعيار Syslog
    • يتم إنشاء الاتصال بـ QRadar عبر TCP
    • يتم طباعة سجلات Fluentd إضافياً على سطر الأوامر بتنسيق JSON (الأسطر 19-22 من الكود). يُستخدم الإعداد للتحقق من تسجيل الأحداث عبر Fluentd
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
<source>
  @type http # input plugin for HTTP and HTTPS traffic
  port 9880 # port for incoming requests
  <transport tls> # configuration for connections handling
    cert_path /etc/ssl/certs/fluentd.crt
    private_key_path /etc/ssl/private/fluentd.key
  </transport>
</source>
<match **>
  @type copy
  <store>
      @type remote_syslog # output plugin to forward logs from Fluentd via Syslog
      host 109.111.35.11 # IP address to forward logs to
      port 514 # port to forward logs to
      protocol tcp # connection protocol
    <format>
      @type json # format of forwarded logs
    </format>
  </store>
  <store>
     @type stdout # output plugin to print Fluentd logs on the command line
     output_type json # format of logs printed on the command line
  </store>
</match>

يتوفر وصف أكثر تفصيلاً لملفات التهيئة في الوثائق الرسمية لـ Fluentd.

اختبار تهيئة Fluentd

للتحقق من تكوين سجلات Fluentd وإعادة توجيهها إلى QRadar، يمكن إرسال طلب PUT أو POST إلى Fluentd.

مثال على الطلب:

curl -X POST 'https://fluentd-example-domain.com' -H "Content-Type: application/json" -d '{"key1":"value1", "key2":"value2"}'

سجلات في Fluentd:
السجلات في Fluentd

سجلات في QRadar:
السجلات في QRadar

عبء سجل QRadar:
عبء السجل في QRadar

تهيئة QRadar (اختياري)

في QRadar، يتم تهيئة مصدر السجل. يساعد ذلك في العثور بسهولة على سجلات Fluentd في قائمة جميع السجلات في QRadar، ويمكن استخدامه أيضًا لتصفية السجلات بشكل أكبر. يتم تهيئة مصدر السجل كما يلي:

  • اسم مصدر السجل: Fluentd

  • وصف مصدر السجل: سجلات من Fluentd

  • نوع مصدر السجل: نوع مُحلل السجلات الواردة المستخدم مع معيار Syslog Universal LEEF

  • تهيئة البروتوكول: معيار إعادة توجيه السجلات Syslog

  • معرف مصدر السجل: عنوان IP لـ Fluentd

  • إعدادات افتراضية أخرى

يتوفر وصف أكثر تفصيلاً لإعداد مصدر سجل QRadar في الوثائق الرسمية لـ IBM.

إعداد مصدر السجل QRadar لـ Fluentd

تهيئة التكامل مع Fluentd

  • Webhooks are sent to https://fluentd-example-domain.com

  • Webhooks are sent via POST requests

  • The webhook integration has default advanced settings

  • Webhooks sent to Webhook URLs are all available events: hits, system events, vulnerabilities, scope changes

تكامل Webhook مع Fluentd

المزيد من التفاصيل حول تهيئة التكامل مع Fluentd

اختبار المثال

To test the configuration, a new user is added in Wallarm Console:

Adding user

ستسجل Fluentd الحدث على النحو التالي:

سجل حول مستخدم جديد في QRadar من Fluentd

سيتم عرض البيانات التالية بتنسيق JSON في عبء سجل QRadar:

بطاقة المستخدم الجديد في QRadar من Fluentd