Fluentd aracılığıyla IBM QRadar¶

Bu talimatlar, Wallarm’ın Fluentd veri toplayıcı ile entegrasyonuna örnek sağlar ve olayların QRadar SIEM sistemine iletilmesini mümkün kılar.

The most common logging scheme in complex systems consists of the following components:

Data collector: accepts logs from several sources and forwards logs to the SIEM system
SIEM system or log management systems: used to analyze logs and monitor the system status

Kullanılan kaynaklar¶

Debian 11.x (bullseye) üzerine kurulu ve https://fluentd-example-domain.com adresinden erişilebilen Fluentd
Linux Red Hat üzerine kurulu ve IP adresi https://109.111.35.11:514 ile erişilebilen QRadar V7.3.3
Fluentd entegrasyonunu yapılandırmak için EU cloud üzerindeki Wallarm Console’a yönetici erişimi

Wallarm Cloud IP addresses

To provide Wallarm Cloud access to your system, you may need a list of its public IP addresses:

US CloudEU Cloud

35.235.66.155
34.102.90.100
34.94.156.115
35.235.115.105
34.94.85.217
34.94.51.234
34.102.59.122
34.94.238.72
35.235.100.79
34.102.45.38
34.94.241.21
34.102.90.100
34.94.203.193
34.94.238.221
34.94.9.23

34.141.230.156
34.91.138.113
34.90.114.134
35.204.127.78
34.90.24.155

Fluentd ve QRadar hizmetlerine verilen bağlantılar örnek amaçlıdır, bu nedenle yanıt vermezler.

Fluentd yapılandırması¶

Wallarm günlükleri webhooks aracılığıyla ara veri toplayıcı Fluentd’e gönderdiğinden, Fluentd yapılandırması aşağıdaki gereksinimleri karşılamalıdır:

POST veya PUT isteklerini kabul etmesi
HTTPS isteklerini kabul etmesi
Genel olarak erişilebilir bir URL’ye sahip olması
Günlükleri IBM QRadar’a iletmesi; bu örnekte iletim için remote_syslog eklentisi kullanılır

Fluentd, td-agent.conf dosyasında yapılandırılır:

Gelen webhook işlemesi source yönergesinde yapılandırılmıştır:
- Trafik 9880 portuna gönderilir
- Fluentd yalnızca HTTPS bağlantılarını kabul edecek şekilde yapılandırılmıştır
- Genel olarak güvenilen bir CA tarafından imzalanmış Fluentd TLS sertifikası /etc/ssl/certs/fluentd.crt dosyasında bulunur
- TLS sertifikasının özel anahtarı /etc/ssl/private/fluentd.key dosyasında bulunur
Günlüklerin QRadar’a iletilmesi ve günlük çıktısı match yönergesinde yapılandırılmıştır:
- Tüm olay günlükleri Fluentd’den kopyalanır ve https://109.111.35.11:514 IP adresindeki QRadar’a iletilir
- Günlükler, Syslog standardına uygun olarak Fluentd’den QRadar’a JSON biçiminde iletilir
- QRadar ile bağlantı TCP üzerinden kurulur
- Fluentd günlükleri ayrıca komut satırında JSON biçiminde yazdırılır (19-22. kod satırları). Bu ayar, olayların Fluentd üzerinden kaydedildiğini doğrulamak için kullanılır

<source>
  @type http # HTTP ve HTTPS trafiği için giriş eklentisi
  port 9880 # gelen istekler için port
  <transport tls> # bağlantıların ele alınması için yapılandırma
    cert_path /etc/ssl/certs/fluentd.crt
    private_key_path /etc/ssl/private/fluentd.key
  </transport>
</source>
<match **>
  @type copy
  <store>
      @type remote_syslog # Fluentd'den Syslog aracılığıyla günlük iletimi için çıkış eklentisi
      host 109.111.35.11 # günlüklerin iletileceği IP adresi
      port 514 # günlüklerin iletileceği port
      protocol tcp # bağlantı protokolü
    <format>
      @type json # iletilen günlüklerin biçimi
    </format>
  </store>
  <store>
     @type stdout # Fluentd günlüklerini komut satırına yazdırmak için çıkış eklentisi
     output_type json # komut satırına yazdırılan günlüklerin biçimi
  </store>
</match>

Yapılandırma dosyalarının daha ayrıntılı açıklaması resmi Fluentd dokümantasyonunda mevcuttur.

Fluentd yapılandırmasının test edilmesi

Fluentd günlüklerinin oluşturulduğunu ve QRadar’a iletildiğini kontrol etmek için Fluentd’e PUT veya POST isteği gönderilebilir.

İstek örneği:

curl -X POST 'https://fluentd-example-domain.com' -H "Content-Type: application/json" -d '{"key1":"value1", "key2":"value2"}'

Fluentd günlükleri:

QRadar günlükleri:

QRadar günlük yükü:

QRadar yapılandırması (isteğe bağlı)¶

QRadar’da günlük kaynağı yapılandırılır. Bu, QRadar’daki tüm günlükler listesinde Fluentd günlüklerini kolayca bulmaya yardımcı olur ve ayrıca ileri seviye günlük filtrelemesi için de kullanılabilir. Günlük kaynağı şu şekilde yapılandırılır:

Günlük Kaynağı Adı: Fluentd
Günlük Kaynağı Açıklaması: Fluentd'den günlükler
Günlük Kaynağı Türü: Syslog standardı ile kullanılan gelen günlük ayrıştırıcı türü Universal LEEF
Protokol Yapılandırması: günlük iletimi standardı Syslog
Günlük Kaynağı Tanımlayıcısı: Fluentd IP adresi
Diğer varsayılan ayarlar

QRadar günlük kaynağı kurulumuna ilişkin daha ayrıntılı açıklama resmi IBM dokümantasyonunda mevcuttur.

Fluentd entegrasyonunun yapılandırılması¶

Webhooks are sent to https://fluentd-example-domain.com
Webhooks are sent via POST requests
The webhook integration has default advanced settings
Webhooks sent to Webhook URLs are all available events: hits, system events, vulnerabilities, scope changes

Fluentd entegrasyonunun yapılandırması hakkında daha fazla bilgi

Örnek test¶

To test the configuration, a new user is added in Wallarm Console:

Fluentd olayı aşağıdaki gibi kaydedecektir:

QRadar günlük yükünde aşağıdaki veriler JSON biçiminde görüntülenecektir: