IBM QRadar عبر Logstash¶

توفر لك هذه التعليمات مثالًا على تكامل Wallarm مع جامع بيانات Logstash لإعادة توجيه الأحداث إلى نظام QRadar SIEM.

The most common logging scheme in complex systems consists of the following components:

Data collector: accepts logs from several sources and forwards logs to the SIEM system
SIEM system or log management systems: used to analyze logs and monitor the system status

الموارد المستخدمة¶

Logstash 7.7.0 مُثبت على Debian 11.x (bullseye) ومتاح على https://logstash.example.domain.com
QRadar V7.3.3 مُثبت على Linux Red Hat ومتاح مع عنوان IP https://109.111.35.11:514
وصول المسؤول إلى لوحة تحكم Wallarm في سحابة EU لـ تكوين تكامل Logstash

Wallarm Cloud IP addresses

To provide Wallarm Cloud access to your system, you may need a list of its public IP addresses:

US CloudEU Cloud

35.235.66.155
34.102.90.100
34.94.156.115
35.235.115.105
34.94.85.217
34.94.51.234
34.102.59.122
34.94.238.72

34.141.230.156
34.91.138.113
34.90.114.134
35.204.127.78

بما أن الروابط لخدمات Logstash وQRadar مستشهد بها كأمثلة، فإنها لا تستجيب.

تكوين Logstash¶

بما أن Wallarm يرسل السجلات إلى جمع البيانات الوسيط Logstash عبر الويب هوك، يجب أن يفي تكوين Logstash بالمتطلبات التالية:

قبول طلبات POST أو PUT
قبول طلبات HTTPS
وجود URL عام
إعادة توجيه السجلات إلى IBM Qradar، هذا المثال يستخدم إضافة syslog لإعادة توجيه السجلات

يتم تكوين Logstash في ملف logstash-sample.conf:

يتم تكوين معالجة ويب هوك الوارد في قسم input:
- يتم إرسال الحركة إلى المنفذ 5044
- Logstash مُكوّن لقبول الاتصالات HTTPS فقط
- شهادة TLS الخاصة بLogstash موقّعة من قِبل CA موثوق بها علنًا تقع ضمن الملف /etc/server.crt
- المفتاح الخاص لشهادة TLS يقع ضمن الملف /etc/server.key
يتم تكوين إعادة توجيه السجلات إلى QRadar وإخراج السجل في قسم output:
- يتم إعادة توجيه كل سجلات الأحداث من Logstash إلى QRadar عن طريق عنوان IP https://109.111.35.11:514
- يتم إعادة توجيه السجلات من Logstash إلى QRadar بتنسيق JSON وفقًا لمعيار Syslog
- يتم إنشاء الاتصال مع QRadar عبر TCP
- يتم طباعة سجلات Logstash أيضًا على سطر الأوامر (السطر الخامس عشر). يتم استخدام الإعداد للتحقق من تسجيل الأحداث عبر Logstash

input {
  http { # input plugin for HTTP and HTTPS traffic
    port => 5044 # port for incoming requests
    ssl => true # HTTPS traffic processing
    ssl_certificate => "/etc/server.crt" # Logstash TLS certificate
    ssl_key => "/etc/server.key" # private key for TLS certificate
  }
}
output {
  syslog { # output plugin to forward logs from Logstash via Syslog
    host => "109.111.35.11" # IP address to forward logs to
    port => "514" # port to forward logs to
    protocol => "tcp" # connection protocol
    codec => json # format of forwarded logs
  }
  stdout {} # output plugin to print Logstash logs on the command line
}

يتوفر وصف أكثر تفصيلًا لملفات التكوين في وثائق Logstash الرسمية.

اختبار تكوين Logstash

للتحقق من أن سجلات Logstash يتم إنشاؤها وإعادة توجيهها إلى QRadar، يمكن إرسال طلب POST إلى Logstash.

مثال على الطلب:

curl -X POST 'https://logstash.example.domain.com' -H "Content-Type: application/json" -d '{"key1":"value1", "key2":"value2"}'

سجلات Logstash:

سجلات QRadar:

بيانات سجل QRadar:

تكوين QRadar (اختياري)¶

في QRadar، يتم تكوين مصدر السجل. يساعد ذلك في العثور بسهولة على سجلات Logstash في قائمة جميع السجلات في QRadar، ويمكن أيضًا استخدامه لتصفية السجلات مستقبلاً. يتم تكوين مصدر السجل على النحو التالي:

اسم مصدر السجل: Logstash
وصف مصدر السجل: سجلات من Logstash
نوع مصدر السجل: نوع محلل سجلات الوارد المستخدم مع معيار Syslog Universal LEEF
تكوين البروتوكول: معيار إعادة توجيه السجلات Syslog
مُعرف مصدر السجل: عنوان IP لـLogstash
الإعدادات الافتراضية الأخرى

يتوفر وصف أكثر تفصيلًا لإعداد مصدر السجل في QRadar في الوثائق الرسمية لIBM.

تكوين تكامل Logstash¶

Webhooks are sent to https://logstash.example.domain.com
Webhooks are sent via POST requests
The webhook integration has default advanced settings
Webhooks sent to Webhook URLs are all available events: hits, system events, vulnerabilities, scope changes

مزيد من التفاصيل حول تكوين تكامل Logstash

اختبار المثال¶

To test the configuration, a new user is added in Wallarm Console:

سيقوم Logstash بتسجيل الحدث على النحو التالي:

سيتم عرض البيانات التالية بتنسيق JSON في بيانات سجل QRadar: