Micro Focus ArcSight Logger via Fluentd¶

Bu yönergeler, Wallarm'ın Fluentd veri toplayıcısı ile örnek entegrasyonunu ve bu entegrasyon sayesinde olayların ArcSight Logger sistemine iletilmesini sağlamaktadır.

The most common logging scheme in complex systems consists of the following components:

Data collector: accepts logs from several sources and forwards logs to the SIEM system
SIEM system or log management systems: used to analyze logs and monitor the system status

Integration with the Enterprise version of ArcSight ESM

Fluentd'den ArcSight ESM Enterprise sürümüne log iletimini yapılandırmak için, ArcSight tarafında Syslog Connector'ün yapılandırılması ve ardından Fluentd'den connector portuna logların iletilmesi önerilir. Konnektörler hakkında daha ayrıntılı bilgi için lütfen resmi ArcSight SmartConnector dokümantasyonundan SmartConnector User Guide'ı indirin.

Used resources¶

CentOS 7.8 üzerine kurulmuş, WEB URL'si https://192.168.1.73:443 olan ArcSight Logger 7.1
Debian 11.x (bullseye) üzerine kurulmuş ve https://fluentd-example-domain.com üzerinden ulaşılabilen Fluentd
Fluentd entegrasyonunu yapılandırmak için EU cloud üzerindeki Wallarm Console'a yönetici erişimi

Wallarm Cloud IP addresses

To provide Wallarm Cloud access to your system, you may need a list of its public IP addresses:

US CloudEU Cloud

35.235.66.155
34.102.90.100
34.94.156.115
35.235.115.105
34.94.85.217
34.94.51.234
34.102.59.122
34.94.238.72

34.141.230.156
34.91.138.113
34.90.114.134
35.204.127.78

Örnek olarak gösterilen ArcSight Logger ve Fluentd servis bağlantıları yanıt vermemektedir.

ArcSight Logger configuration¶

ArcSight Logger, Wallarm Fluentd logs isimli log alıcısını aşağıdaki şekilde yapılandırmıştır:

Loglar UDP üzerinden alınır (Type = UDP Receiver)
Dinleme portu 514'tür
Olaylar syslog ayrıştırıcısı ile işlenir
Diğer varsayılan ayarlar

Alıcı yapılandırmasının daha ayrıntılı açıklamasını almak için lütfen resmi ArcSight Logger dokümantasyonundan uygun sürüme ait Logger Installation Guide'ı indirin.

Fluentd configuration¶

Wallarm, logları webhooks aracılığıyla Fluentd ara veri toplayıcısına gönderdiğinden, Fluentd yapılandırması aşağıdaki gereksinimleri karşılamalıdır:

POST veya PUT isteklerini kabul etmeli
HTTPS isteklerini kabul etmeli
Genel bir URL'ye sahip olmalı
Logları ArcSight Logger'a yönlendirmeli; bu örnekte logları yönlendirmek için remote_syslog eklentisi kullanılmıştır

Fluentd, td-agent.conf dosyasında yapılandırılmıştır:

Gelen webhook işleme source yönergesinde yapılandırılmıştır:
- Trafik 9880 portuna yönlendirilir
- Fluentd yalnızca HTTPS bağlantılarını kabul edecek şekilde yapılandırılmıştır
- Genel olarak güvenilen bir CA tarafından imzalanan Fluentd TLS sertifikası /etc/ssl/certs/fluentd.crt dosyasında yer almaktadır
- TLS sertifikasına ait özel anahtar /etc/ssl/private/fluentd.key dosyasında bulunmaktadır
ArcSight Logger'a log yönlendirme ve log çıktısı match yönergesinde yapılandırılmıştır:
- Tüm olay logları Fluentd'den kopyalanarak https://192.168.1.73:514 IP adresindeki ArcSight Logger'a yönlendirilir
- Loglar, Fluentd'den ArcSight Logger'a Syslog standardına uygun JSON formatında iletilir
- ArcSight Logger ile bağlantı UDP üzerinden sağlanır
- Fluentd logları, ek olarak komut satırında JSON formatında (19-22 kod satırı) yazdırılır. Bu ayar, olayların Fluentd üzerinden kaydedildiğini doğrulamak için kullanılır

<source>
  @type http # input plugin for HTTP and HTTPS traffic
  port 9880 # port for incoming requests
  <transport tls> # configuration for connections handling
    cert_path /etc/ssl/certs/fluentd.crt
    private_key_path /etc/ssl/private/fluentd.key
  </transport>
</source>
<match **>
  @type copy
  <store>
      @type remote_syslog # output plugin to forward logs from Fluentd via Syslog
      host 192.168.1.73 # IP address to forward logs to
      port 514 # port to forward logs to
      protocol udp # connection protocol
    <format>
      @type json # format of forwarded logs
    </format>
  </store>
  <store>
     @type stdout # output plugin to print Fluentd logs on the command line
     output_type json # format of logs printed on the command line
  </store>
</match>

Yapılandırma dosyalarının daha ayrıntılı açıklaması resmi Fluentd dokümantasyonunda mevcuttur.

Testing Fluentd configuration

Fluentd loglarının oluşturulduğunu ve ArcSight Logger'a yönlendirildiğini kontrol etmek için Fluentd'ye PUT veya POST isteği gönderilebilir.

Request example:

curl -X POST 'https://fluentd-example-domain.com' -H "Content-Type: application/json" -d '{"key1":"value1", "key2":"value2"}'

Fluentd logs:

Event in ArcSight Logger:

Configuration of Fluentd integration¶

Webhooks are sent to https://fluentd-example-domain.com
Webhooks are sent via POST requests
The webhook integration has default advanced settings
Webhooks sent to Webhook URLs are all available events: hits, system events, vulnerabilities, scope changes

More details on the Fluentd integration configuration

Example testing¶

To test the configuration, a new user is added in Wallarm Console:

Fluentd olayı aşağıdaki şekilde loglayacaktır:

ArcSight Logger olaylarında aşağıdaki giriş görüntülenecektir: