Ana içeriğe geç

IBM QRadar via Fluentd

Bu talimatlar, Wallarm'ın Fluentd veri toplayıcısı ile entegrasyonunun örneğini sunar ve olayları QRadar SIEM sistemine iletmek üzere yapılandırılmıştır.

The most common logging scheme in complex systems consists of the following components:

  • Data collector: accepts logs from several sources and forwards logs to the SIEM system

  • SIEM system or log management systems: used to analyze logs and monitor the system status

Webhook flow

Kullanılan kaynaklar

Wallarm Cloud IP addresses

To provide Wallarm Cloud access to your system, you may need a list of its public IP addresses:

35.235.66.155
34.102.90.100
34.94.156.115
35.235.115.105
34.94.85.217
34.94.51.234
34.102.59.122
34.94.238.72

34.141.230.156
34.91.138.113
34.90.114.134
35.204.127.78

Fluentd ve QRadar servislerine ait bağlantılar örnek olarak verildiğinden, yanıt vermemektedir.

Fluentd yapılandırması

Wallarm, logları webhooks aracılığıyla Fluentd ara veri toplayıcısına gönderdiğinden, Fluentd yapılandırmasının aşağıdaki gereksinimleri karşılaması gerekir:

  • POST veya PUT isteklerini kabul etmek

  • HTTPS isteklerini kabul etmek

  • Genel erişime açık bir URL'ye sahip olmak

  • Logları IBM QRadar'a iletmek, bu örnekte logları iletmek için remote_syslog eklentisi kullanılmıştır

Fluentd, td-agent.conf dosyasında yapılandırılır:

  • Gelen webhook işleme, source yönergesinde yapılandırılmıştır:

    • Trafik 9880 numaralı porta gönderilir
    • Fluentd, yalnızca HTTPS bağlantılarını kabul edecek şekilde ayarlanmıştır
    • Halka açık CA tarafından imzalanmış Fluentd TLS sertifikası /etc/ssl/certs/fluentd.crt dosyasında yer almaktadır
    • TLS sertifikası için özel anahtar /etc/ssl/private/fluentd.key dosyasında yer almaktadır

  • Logların QRadar'a iletilmesi ve log çıktısı match yönergesinde yapılandırılmıştır:

    • Tüm olay logları, Fluentd'den kopyalanarak https://109.111.35.11:514 adresindeki QRadar'a iletilir
    • Loglar, Syslog standardına uygun olarak JSON formatında Fluentd'den QRadar'a iletilir (Syslog)
    • QRadar ile bağlantı TCP üzerinden kurulmuştur
    • Fluentd logları, ayrıca komut satırında JSON formatında yazdırılır (19-22 kod satırı). Bu ayar, olayların Fluentd aracılığıyla loglandığının doğrulanması için kullanılır
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
<source>
  @type http # input plugin for HTTP and HTTPS traffic
  port 9880 # port for incoming requests
  <transport tls> # configuration for connections handling
    cert_path /etc/ssl/certs/fluentd.crt
    private_key_path /etc/ssl/private/fluentd.key
  </transport>
</source>
<match **>
  @type copy
  <store>
      @type remote_syslog # output plugin to forward logs from Fluentd via Syslog
      host 109.111.35.11 # IP address to forward logs to
      port 514 # port to forward logs to
      protocol tcp # connection protocol
    <format>
      @type json # format of forwarded logs
    </format>
  </store>
  <store>
     @type stdout # output plugin to print Fluentd logs on the command line
     output_type json # format of logs printed on the command line
  </store>
</match>

Yapılandırma dosyalarına ilişkin daha ayrıntılı açıklama resmi Fluentd dokümantasyonunda mevcuttur.

Fluentd yapılandırmasının test edilmesi

Fluentd loglarının oluşturulduğunu ve QRadar'a iletildiğini kontrol etmek için Fluentd'ye PUT veya POST isteği gönderilebilir.

İstek örneği:

curl -X POST 'https://fluentd-example-domain.com' -H "Content-Type: application/json" -d '{"key1":"value1", "key2":"value2"}'

Fluentd logları:
Logs in Fluentd

QRadar logları:
Logs in QRadar

QRadar log yükü:
Logs in QRadar

QRadar yapılandırması (isteğe bağlı)

QRadar'da log kaynağı yapılandırılır. Bu, QRadar'daki tüm loglar arasında Fluentd loglarını kolayca bulmayı sağlar ve ayrıca ileri düzey log filtrelemesi için de kullanılabilir. Log kaynağı aşağıdaki şekilde yapılandırılmıştır:

  • Log Source Name: Fluentd

  • Log Source Description: Fluentd'den gelen loglar

  • Log Source Type: Gelen log parçalayıcı türü, Syslog standardı ile kullanılan Universal LEEF

  • Protocol Configuration: Log iletim standardı: Syslog

  • Log Source Identifier: Fluentd IP adresi

  • Diğer varsayılan ayarlar

QRadar log kaynağı kurulumu hakkında daha ayrıntılı bilgi resmi IBM dokümantasyonunda mevcuttur.

QRadar log source setup for Fluentd

Fluentd entegrasyonunun yapılandırılması

  • Webhooks are sent to https://fluentd-example-domain.com

  • Webhooks are sent via POST requests

  • The webhook integration has default advanced settings

  • Webhooks sent to Webhook URLs are all available events: hits, system events, vulnerabilities, scope changes

Webhook integration with Fluentd

Fluentd entegrasyon yapılandırması hakkında daha fazla bilgi

Örnek test

To test the configuration, a new user is added in Wallarm Console:

Adding user

Fluentd, olayı aşağıdaki gibi loglayacaktır:

Log about new user in QRadar from Fluentd

Aşağıdaki JSON formatındaki veriler, QRadar log yükünde görüntülenecektir:

New user card in QRadar from Fluentd