Pular para conteúdo

Micro Focus ArcSight Logger via Fluentd

Estas instruções fornecem um exemplo de integração da Wallarm com o coletor de dados Fluentd para o encaminhamento de eventos para o sistema ArcSight Logger.

O esquema de registro mais comum em sistemas complexos consiste nos seguintes componentes:

  • Coletor de dados: aceita logs de várias fontes e encaminha os logs para o sistema SIEM

  • Sistema SIEM ou sistemas de gerenciamento de logs: usados para analisar logs e monitorar o status do sistema

Fluxo de Webhook

Integração com a versão Enterprise do ArcSight ESM

Para configurar o encaminhamento de logs do Fluentd para a versão Enterprise do ArcSight ESM, recomenda-se configurar o Syslog Connector no lado do ArcSight e, em seguida, encaminhar logs do Fluentd para a porta do conector. Para obter uma descrição mais detalhada dos conectores, baixe o Guia do Usuário do SmartConnector da documentação oficial do ArcSight SmartConnector.

Recursos utilizados

Endereços IP da Wallarm Cloud

Para fornecer acesso ao Wallarm Cloud para seu sistema, você pode precisar de uma lista de seus endereços IP públicos:

35.235.66.155
34.102.90.100
34.94.156.115
35.235.115.105
34.94.85.217
34.94.51.234
34.102.59.122
34.94.238.72

34.141.230.156
34.91.138.113
34.90.114.134
35.204.127.78

Como os links para os serviços ArcSight Logger e Fluentd são citados como exemplos, eles não respondem.

Configuração do ArcSight Logger

O ArcSight Logger tem o receptor de logs Wallarm Fluentd logs configurado da seguinte maneira:

  • Logs são recebidos via UDP (Tipo = Receptor UDP)

  • A porta de escuta é 514

  • Os eventos são analisados com o parser syslog

  • Outras configurações padrão

Configuração do receptor no ArcSight Logger

Para obter uma descrição mais detalhada da configuração do receptor, baixe o Guia de Instalação do Logger da versão adequada da documentação oficial do ArcSight Logger.

Configuração do Fluentd

Como a Wallarm envia logs para o coletor de dados intermediário Fluentd via webhooks, a configuração do Fluentd deve atender aos seguintes requisitos:

  • Aceitar as solicitações POST ou PUT

  • Aceitar solicitações HTTPS

  • Ter URL pública

  • Encaminhar logs para ArcSight Logger, este exemplo usa o plugin remote_syslog para encaminhar logs

Fluentd é configurado no arquivo td-agent.conf:

  • O processamento de webhook de entrada é configurado na diretiva source:

    • O tráfego é enviado para a porta 9880
    • O Fluentd está configurado para aceitar apenas conexões HTTPS
    • O certificado TLS Fluentd assinado por uma CA de confiança pública está localizado no arquivo /etc/ssl/certs/fluentd.crt
    • A chave privada para o certificado TLS está localizada no arquivo /etc/ssl/private/fluentd.key

  • O encaminhamento de logs para ArcSight Logger e a saída de logs são configurados na diretiva match:

    • Todos os logs de eventos são copiados do Fluentd e encaminhados para o ArcSight Logger no endereço IP https://192.168.1.73:514
    • Logs são encaminhados do Fluentd para o ArcSight Logger no formato JSON de acordo com o padrão Syslog
    • A conexão com o ArcSight Logger é estabelecida via UDP
    • Os logs Fluentd também são impressos na linha de comando no formato JSON (linhas de código 19-22). A configuração é usada para verificar que eventos são registrados via Fluentd
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
<source>
  @type http # plugin de entrada para tráfego HTTP e HTTPS
  port 9880 # porta para solicitações de entrada
  <transport tls> # configuração para manipulação de conexões
    cert_path /etc/ssl/certs/fluentd.crt
    private_key_path /etc/ssl/private/fluentd.key
  </transport>
</source>
<match **>
  @type copy
  <store>
      @type remote_syslog # plugin de saída para encaminhar logs do Fluentd via Syslog
      host 192.168.1.73 # endereço IP para encaminhar logs para
      port 514 # porta para encaminhar logs para
      protocol udp # protocolo de conexão
    <format>
      @type json # formato dos logs encaminhados
    </format>
  </store>
  <store>
     @type stdout # plugin de saída para imprimir logs do Fluentd na linha de comando
     output_type json # formato dos logs impressos na linha de comando
  </store>
</match>

Uma descrição mais detalhada dos arquivos de configuração está disponível na documentação oficial do Fluentd.

Testando a configuração do Fluentd

Para verificar que os logs do Fluentd são criados e encaminhados para o ArcSight Logger, a solicitação PUT ou POST pode ser enviada para o Fluentd.

Exemplo de solicitação:

curl -X POST 'https://fluentd-example-domain.com' -H "Content-Type: application/json" -d '{"key1":"value1", "key2":"value2"}'

Logs do Fluentd:
Logs no Fluentd

Evento no ArcSight Logger:
Logs no ArcSight Logger

Configuração da integração Fluentd

  • Webhooks são enviados para https://fluentd-example-domain.com

  • Webhooks são enviados via solicitações POST

  • A integração de webhook possui configurações avançadas padrão

  • Webhooks enviados para URLs de Webhook são todos os eventos disponíveis: hits, eventos do sistema, vulnerabilidades, alterações de escopo

Integração Webhook com Fluentd

Mais detalhes sobre a configuração da integração Fluentd

Testando o exemplo

Para testar a configuração, um novo usuário é adicionado no Console Wallarm:

Adicionando usuário

O Fluentd registrará o evento da seguinte maneira:

Log do Fluentd sobre o novo usuário

A seguinte entrada será exibida nos eventos do ArcSight Logger:

Eventos no Logger ArcSight