Logstash経由のMicro Focus ArcSight Logger¶

本手順では、WallarmとLogstashデータコレクタのインテグレーション例を示し、その後ArcSight Loggerシステムへイベントを転送します。

The most common logging scheme in complex systems consists of the following components:

Data collector: accepts logs from several sources and forwards logs to the SIEM system
SIEM system or log management systems: used to analyze logs and monitor the system status

ArcSight ESMのEnterprise版とのインテグレーション

LogstashからArcSight ESMのEnterprise版へログを転送するには、ArcSight側でSyslog Connectorを設定し、その後Logstashから当該コネクタのポートへログを転送することを推奨します。コネクタの詳細な説明については、公式のArcSight SmartConnectorドキュメントからSmartConnector User Guideをダウンロードしてください。

使用リソース¶

ArcSight Logger 7.1（CentOS 7.8にインストール、WEB URLはhttps://192.168.1.73:443）
Logstash 7.7.0（Debian 11.x (bullseye)にインストール、https://logstash.example.domain.comで利用可能）
EUクラウドのWallarm Consoleへの管理者アクセス権（Logstashインテグレーションを設定するため）

Wallarm Cloud IP addresses

To provide Wallarm Cloud access to your system, you may need a list of its public IP addresses:

US CloudEU Cloud

35.235.66.155
34.102.90.100
34.94.156.115
35.235.115.105
34.94.85.217
34.94.51.234
34.102.59.122
34.94.238.72
35.235.100.79
34.102.45.38
34.94.241.21
34.102.90.100
34.94.203.193
34.94.238.221
34.94.9.23

34.141.230.156
34.91.138.113
34.90.114.134
35.204.127.78
34.90.24.155

ArcSight LoggerおよびLogstashサービスへのリンクは例示ですので、応答しません。

ArcSight Loggerの設定¶

ArcSight Loggerには、ログレシーバーWallarm Logstash logsが次のとおり設定されています:

ログはUDPで受信します（Type = UDP Receiver）
待受ポートは514です
イベントはsyslogパーサーで解析します
その他はデフォルト設定です

レシーバー設定の詳細については、公式のArcSight Loggerドキュメントから該当バージョンのLogger Installation Guideをダウンロードしてください。

Logstashの設定¶

Wallarmはwebhookを介して中間のデータコレクタであるLogstashへログを送信しますので、Logstashの設定は次の要件を満たす必要があります。

POSTまたはPUTリクエストを受け付けます
HTTPSリクエストを受け付けます
公開URLを持ちます
ArcSight Loggerへログを転送します。本例ではログ転送にsyslogプラグインを使用します

Logstashはlogstash-sample.confファイルで設定します。

inputセクションで着信webhookの処理を設定します:
- トラフィックはポート5044に送られます
- LogstashはHTTPS接続のみを受け付けるように設定します
- 公開信頼CAにより署名されたLogstashのTLS証明書は/etc/server.crtに配置します
- TLS証明書の秘密鍵は/etc/server.keyに配置します
outputセクションでArcSight Loggerへの転送とログ出力を設定します:
- すべてのイベントログはLogstashからArcSight LoggerのIPアドレスhttps://192.168.1.73:514へ転送します
- ログはSyslog標準に従い、JSON形式でLogstashからArcSight Loggerへ転送します
- ArcSight Loggerとの接続はUDPで確立します
- Logstashログは追加でコマンドラインにも出力されます（コード15行目）。この設定は、イベントがLogstash経由で記録されることを確認するために使用します

input {
  http { # HTTPおよびHTTPSトラフィック用inputプラグイン
    port => 5044 # 受信リクエスト用ポート
    ssl => true # HTTPSトラフィック処理
    ssl_certificate => "/etc/server.crt" # LogstashのTLS証明書
    ssl_key => "/etc/server.key" # TLS証明書の秘密鍵
  }
}
output {
  syslog { # Syslog経由でLogstashからのログ転送用outputプラグイン
    host => "192.168.1.73" # 転送先IPアドレス
    port => "514" # 転送先ポート
    protocol => "udp" # 接続プロトコル
    codec => json # 転送ログの形式
  }
  stdout {} # コマンドラインへのLogstashログ出力用outputプラグイン
}

設定ファイルの詳細な説明は、公式Logstashドキュメントにあります。

Logstash設定のテスト

Logstashログが作成され、ArcSight Loggerへ転送されることを確認するため、LogstashにPOSTリクエストを送信できます。

リクエスト例:

curl -X POST 'https://logstash.example.domain.com' -H "Content-Type: application/json" -d '{"key1":"value1", "key2":"value2"}'

Logstashログ:

ArcSight Loggerでのイベント:

Logstashインテグレーションの設定¶

Webhooks are sent to https://logstash.example.domain.com
Webhooks are sent via POST requests
The webhook integration has default advanced settings
Webhooks sent to Webhook URLs are all available events: hits, system events, vulnerabilities, scope changes

Logstashインテグレーション設定の詳細

テスト例¶

To test the configuration, a new user is added in Wallarm Console:

Logstashはイベントを次のように記録します:

ArcSight Loggerのイベントには次のエントリが表示されます: