Pular para conteúdo

IBM QRadar via Fluentd

Estas instruções fornecem a você o exemplo de integração do Wallarm com o coletor de dados Fluentd para encaminhar eventos para o sistema SIEM do QRadar.

O esquema de registro mais comum em sistemas complexos consiste nos seguintes componentes:

  • Coletor de dados: aceita logs de várias fontes e encaminha os logs para o sistema SIEM

  • Sistema SIEM ou sistemas de gerenciamento de logs: usados para analisar logs e monitorar o status do sistema

Fluxo de Webhook

Recursos utilizados

Endereços IP da Wallarm Cloud

Para fornecer acesso ao Wallarm Cloud para seu sistema, você pode precisar de uma lista de seus endereços IP públicos:

35.235.66.155
34.102.90.100
34.94.156.115
35.235.115.105
34.94.85.217
34.94.51.234
34.102.59.122
34.94.238.72

34.141.230.156
34.91.138.113
34.90.114.134
35.204.127.78

Uma vez que os links para os serviços Fluentd e QRadar são citados como exemplos, eles não respondem.

Configuração do Fluentd

Como o Wallarm envia logs para o coletor de dados intermediário Fluentd via webhooks, a configuração do Fluentd deve atender aos seguintes requisitos:

  • Aceitar as solicitações POST ou PUT

  • Aceite solicitações HTTPS

  • Ter URL pública

  • Encaminhar logs para o IBM Qradar, este exemplo usa o plugin remote_syslog para encaminhar logs

O Fluentd é configurado no arquivo td-agent.conf:

  • O processamento do webhook recebido é configurado na diretiva source:

    • O tráfego é enviado para a porta 9880
    • O Fluentd está configurado para aceitar apenas conexões HTTPS
    • O certificado TLS do Fluentd assinado por uma CA publicamente confiável está localizado dentro do arquivo /etc/ssl/certs/fluentd.crt
    • A chave privada para o certificado TLS está localizada dentro do arquivo /etc/ssl/private/fluentd.key

  • O encaminhamento de logs para o QRadar e a saída de log estão configurados na diretiva match:

    • Todos os logs de eventos são copiados do Fluentd e encaminhados para o QRadar no endereço IP https://109.111.35.11:514
    • Logs são encaminhados do Fluentd para o QRadar no formato JSON de acordo com o padrão Syslog
    • A conexão com o QRadar é estabelecida via TCP
    • Os logs do Fluentd também são impressos na linha de comando no formato JSON (linhas de código 19-22). A configuração é usada para verificar que os eventos são registrados via Fluentd
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
<source>
  @type http # plugin de entrada para tráfego HTTP e HTTPS
  port 9880 # porta para solicitações recebidas
  <transport tls> # configuração para manipulação de conexões
    cert_path /etc/ssl/certs/fluentd.crt
    private_key_path /etc/ssl/private/fluentd.key
  </transport>
</source>
<match **>
  @type copy
  <store>
      @type remote_syslog # plugin de saída para encaminhar logs do Fluentd via Syslog
      host 109.111.35.11 # endereço IP para encaminhar logs para
      port 514 # porta para encaminhar logs para
      protocol tcp # protocolo de conexão
    <format>
      @type json # formato de logs encaminhados
    </format>
  </store>
  <store>
     @type stdout # plugin de saída para imprimir logs do Fluentd na linha de comando
     output_type json # formato de logs impressos na linha de comando
  </store>
</match>

Uma descrição mais detalhada dos arquivos de configuração está disponível na documentação oficial do Fluentd.

Testando a configuração Fluentd

Para verificar que os logs Fluentd estão sendo criados e encaminhados para o QRadar, a solicitação PUT ou POST pode ser enviada para o Fluentd.

Exemplo de solicitação:

curl -X POST 'https://fluentd-example-domain.com' -H "Content-Type: application/json" -d '{"key1":"value1", "key2":"value2"}'

Logs do Fluentd:
Logs no Fluentd

Logs do QRadar:
Logs no QRadar

Carga de log do QRadar:
Logs no QRadar

Configuração do QRadar (opcional)

No QRadar, a origem do log é configurada. Isso ajuda a encontrar facilmente os logs Fluentd na lista de todos os logs no QRadar e também pode ser usado para filtrar mais logs. A origem do log é configurada da seguinte forma:

  • Nome da fonte de log: Fluentd

  • Descrição da fonte de log: Logs do Fluentd

  • Tipo de fonte de log: tipo de analisador de logs recebidos usados com o padrão Syslog Universal LEEF

  • Configuração do protocolo: padrão de encaminhamento de logs Syslog

  • Identificador da fonte de log: Endereço IP do Fluentd

  • Outras configurações padrão

Uma descrição mais detalhada da configuração da origem do log do QRadar está disponível na documentação oficial da IBM.

Configuração da origem do log do QRadar para Fluentd

Configuração da integração Fluentd

  • Webhooks são enviados para https://fluentd-example-domain.com

  • Webhooks são enviados via solicitações POST

  • A integração de webhook possui configurações avançadas padrão

  • Webhooks enviados para URLs de Webhook são todos os eventos disponíveis: hits, eventos do sistema, vulnerabilidades, alterações de escopo

Integração de Webhook com Fluentd

Mais detalhes sobre a configuração da integração Fluentd

Teste de exemplo

Para testar a configuração, um novo usuário é adicionado no Console Wallarm:

Adicionando usuário

O Fluentd registrará o evento da seguinte forma:

Log sobre novo usuário no QRadar do Fluentd

Os seguintes dados no formato JSON serão exibidos no payload de log do QRadar:

Novo cartão de usuário no QRadar do Fluentd