Pular para conteúdo

Micro Focus ArcSight Logger via Logstash

Estas instruções fornecem a você um exemplo de integração do Wallarm com o coletor de dados Logstash para encaminhamento adicional dos eventos para o sistema ArcSight Logger.

O esquema de registro mais comum em sistemas complexos consiste nos seguintes componentes:

  • Coletor de dados: aceita logs de várias fontes e encaminha os logs para o sistema SIEM

  • Sistema SIEM ou sistemas de gerenciamento de logs: usados para analisar logs e monitorar o status do sistema

Fluxo de Webhook

Integração com a versão corporativa do ArcSight ESM

Para configurar o encaminhamento de logs do Logstash para a versão corporativa do ArcSight ESM, é recomendado configurar o Syslog Connector no lado do ArcSight e, depois, encaminhar os logs do Logstash para a porta do conector. Para obter uma descrição mais detalhada dos conectores, faça o download do Guia do usuário do SmartConnector na documentação oficial do ArcSight SmartConnector.

Recursos usados

Endereços IP da Wallarm Cloud

Para fornecer acesso ao Wallarm Cloud para seu sistema, você pode precisar de uma lista de seus endereços IP públicos:

35.235.66.155
34.102.90.100
34.94.156.115
35.235.115.105
34.94.85.217
34.94.51.234
34.102.59.122
34.94.238.72

34.141.230.156
34.91.138.113
34.90.114.134
35.204.127.78

Como os links para os serviços ArcSight Logger e Logstash são citados como exemplos, eles não respondem.

Configuração do ArcSight Logger

ArcSight Logger tem um receptor de logs Wallarm Logstash logs configurado da seguinte forma:

  • Logs são recebidos via UDP (Type = UDP Receiver)

  • A porta de escuta é 514

  • Os eventos são analisados com o analisador de syslog

  • Outras configurações padrão

Configuração do receptor no ArcSight Logger

Para obter uma descrição mais detalhada da configuração do receptor, faça o download do Guia de instalação do Logger da versão apropriada na documentação oficial do ArcSight Logger.

Configuração do Logstash

Como o Wallarm envia logs para o coletor de dados intermediário Logstash via webhooks, a configuração do Logstash deve atender aos seguintes requisitos:

  • Aceitar as solicitações POST ou PUT

  • Aceitar solicitações HTTPS

  • Ter URL pública

  • Encaminha logs para ArcSight Logger, este exemplo usa o plugin syslog para encaminhar logs

Logstash está configurado no arquivo logstash-sample.conf:

  • O processamento de webhook de entrada é configurado na seção input:

    • O tráfego é enviado para a porta 5044
    • Logstash está configurado para aceitar apenas conexões HTTPS
    • O certificado TLS Logstash assinado por uma CA de confiança pública está localizado no arquivo /etc/server.crt
    • A chave privada para o certificado TLS está localizada no arquivo /etc/server.key

  • O encaminhamento de logs para o ArcSight Logger e a saída de log são configurados na seção output:

    • Todos os logs de eventos são encaminhados do Logstash para o ArcSight Logger no endereço IP https://192.168.1.73:514
    • Os logs são encaminhados do Logstash para o ArcSight Logger no formato JSON de acordo com o padrão Syslog
    • A conexão com o ArcSight Logger é estabelecida via UDP
    • Logs do Logstash também são impressos na linha de comando (linha de código 15). A configuração é usada para verificar se os eventos estão sendo registrados via Logstash
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
input {
  http { # input plugin for HTTP and HTTPS traffic
    port => 5044 # port for incoming requests
    ssl => true # HTTPS traffic processing
    ssl_certificate => "/etc/server.crt" # Logstash TLS certificate
    ssl_key => "/etc/server.key" # private key for TLS certificate
  }
}
output {
  syslog { # output plugin to forward logs from Logstash via Syslog
    host => "192.168.1.73" # IP address to forward logs to
    port => "514" # port to forward logs to
    protocol => "udp" # connection protocol
    codec => json # format of forwarded logs
  }
  stdout {} # output plugin to print Logstash logs on the command line
}

Uma descrição mais detalhada dos arquivos de configuração está disponível na documentação oficial do Logstash.

Testando a configuração do Logstash

Para verificar que os logs do Logstash são criados e encaminhados para o ArcSight Logger, pode-se enviar uma solicitação POST para o Logstash.

Exemplo de solicitação:

curl -X POST 'https://logstash.example.domain.com' -H "Content-Type: application/json" -d '{"key1":"value1", "key2":"value2"}'

Logs do Logstash:
Logs do Logstash

Evento no ArcSight Logger:
Evento no ArcSight Logger

Configuração da integração Logstash

  • Webhooks são enviados para https://logstash.example.domain.com

  • Webhooks são enviados via solicitações POST

  • A integração webhook tem configurações avançadas padrão

  • Webhooks enviados para URLs de Webhook são todos eventos disponíveis: hits, eventos do sistema, vulnerabilidades, alterações de escopo

Integração de webhook com Logstash

Mais detalhes sobre a configuração de integração do Logstash

Teste do exemplo

Para testar a configuração, um novo usuário é adicionado no Console Wallarm:

Adicionando usuário

Logstash registrará o evento da seguinte forma:

Novo registro de usuário no ArcSight Logger do Logstash

A seguinte entrada será exibida nos eventos ArcSight Logger:

Cartão de novo usuário no ArcSight Logger do Logstash