Ana içeriğe geç

Logstash aracılığıyla Micro Focus ArcSight Logger

Bu talimatlar, olayları ArcSight Logger sistemine iletmek için Wallarm'ın Logstash veri toplayıcıyla örnek entegrasyonunu sunar.

The most common logging scheme in complex systems consists of the following components:

  • Data collector: accepts logs from several sources and forwards logs to the SIEM system

  • SIEM system or log management systems: used to analyze logs and monitor the system status

Webhook akışı

ArcSight ESM'in Enterprise sürümüyle entegrasyon

Logstash'ten ArcSight ESM'in Enterprise sürümüne günlük iletimini yapılandırmak için, ArcSight tarafında Syslog Connector yapılandırılması ve ardından günlüklerin Logstash'ten konektör portuna iletilmesi önerilir. Konektörlerin daha ayrıntılı açıklaması için, lütfen resmi ArcSight SmartConnector dokümantasyonundan SmartConnector User Guide belgesini indirin.

Kullanılan kaynaklar

Wallarm Cloud IP addresses

To provide Wallarm Cloud access to your system, you may need a list of its public IP addresses:

35.235.66.155
34.102.90.100
34.94.156.115
35.235.115.105
34.94.85.217
34.94.51.234
34.102.59.122
34.94.238.72
35.235.100.79
34.102.45.38
34.94.241.21
34.102.90.100
34.94.203.193
34.94.238.221
34.94.9.23
34.141.230.156
34.91.138.113
34.90.114.134
35.204.127.78
34.90.24.155

ArcSight Logger ve Logstash servislerine ait bağlantılar örnek amaçlı verildiğinden yanıt vermezler.

ArcSight Logger yapılandırması

ArcSight Logger'da Wallarm Logstash logs adlı günlük alıcısı aşağıdaki şekilde yapılandırılmıştır:

  • Günlükler UDP üzerinden alınır (Type = UDP Receiver)

  • Dinleme portu 514'tür

  • Olaylar syslog ayrıştırıcısıyla ayrıştırılır

  • Diğer varsayılan ayarlar

ArcSight Logger'da alıcının yapılandırılması

Alıcı yapılandırmasına ilişkin daha ayrıntılı açıklama için, uygun sürümün Logger Installation Guide belgesini resmi ArcSight Logger dokümantasyonundan indirin.

Logstash yapılandırması

Wallarm günlükleri webhooks aracılığıyla Logstash ara veri toplayıcısına gönderdiğinden, Logstash yapılandırması aşağıdaki gereksinimleri karşılamalıdır:

  • POST veya PUT isteklerini kabul etmelidir

  • HTTPS isteklerini kabul etmelidir

  • Genel erişilebilir bir URL'ye sahip olmalıdır

  • Günlükleri ArcSight Logger'a iletmelidir; bu örnekte iletim için syslog eklentisi kullanılır

Logstash, logstash-sample.conf dosyasında yapılandırılmıştır:

  • Gelen webhook işlemesi input bölümünde yapılandırılmıştır:

    • Trafik 5044 portuna yönlendirilir
    • Logstash yalnızca HTTPS bağlantılarını kabul edecek şekilde yapılandırılmıştır
    • Genel olarak güvenilen bir CA tarafından imzalanmış Logstash TLS sertifikası /etc/server.crt dosyasında bulunur
    • TLS sertifikasına ait özel anahtar /etc/server.key dosyasında bulunur
  • Günlüklerin ArcSight Logger'a iletilmesi ve günlük çıktısı output bölümünde yapılandırılmıştır:

    • Tüm olay günlükleri Logstash'ten ArcSight Logger'a https://192.168.1.73:514 IP adresine iletilir
    • Günlükler Logstash'ten ArcSight Logger'a Syslog standardına göre JSON formatında iletilir
    • ArcSight Logger ile bağlantı UDP üzerinden kurulur
    • Logstash günlükleri ayrıca komut satırına yazdırılır (kodun 15. satırı). Bu ayar, olayların Logstash üzerinden günlüğe kaydedildiğini doğrulamak için kullanılır
input {
  http { # HTTP ve HTTPS trafiği için input eklentisi
    port => 5044 # gelen istekler için port
    ssl => true # HTTPS trafiğinin işlenmesi
    ssl_certificate => "/etc/server.crt" # Logstash TLS sertifikası
    ssl_key => "/etc/server.key" # TLS sertifikası için özel anahtar
  }
}
output {
  syslog { # Logstash'ten Syslog üzerinden günlük iletimi için output eklentisi
    host => "192.168.1.73" # günlüklerin iletileceği IP adresi
    port => "514" # günlüklerin iletileceği port
    protocol => "udp" # bağlantı protokolü
    codec => json # iletilen günlüklerin biçimi
  }
  stdout {} # Logstash günlüklerini komut satırına yazdırmak için output eklentisi
}

Yapılandırma dosyalarının daha ayrıntılı açıklaması resmi Logstash dokümantasyonunda mevcuttur.

Logstash yapılandırmasının test edilmesi

Logstash günlüklerinin oluşturulduğunu ve ArcSight Logger'a iletildiğini kontrol etmek için Logstash'e bir POST isteği gönderilebilir.

İstek örneği:

curl -X POST 'https://logstash.example.domain.com' -H "Content-Type: application/json" -d '{"key1":"value1", "key2":"value2"}'

Logstash günlükleri:
Logstash günlükleri

ArcSight Logger'daki olay:
ArcSight Logger olayı

Logstash entegrasyonunun yapılandırılması

  • Webhooks are sent to https://logstash.example.domain.com

  • Webhooks are sent via POST requests

  • The webhook integration has default advanced settings

  • Webhooks sent to Webhook URLs are all available events: hits, system events, vulnerabilities, scope changes

Logstash ile Webhook entegrasyonu

Logstash entegrasyonunun yapılandırılması hakkında daha fazla bilgi

Örnek test

To test the configuration, a new user is added in Wallarm Console:

Adding user

Logstash olayı aşağıdaki şekilde günlüğe kaydedecektir:

Logstash'ten ArcSight Logger'a yeni kullanıcıya ilişkin günlük

ArcSight Logger olaylarında aşağıdaki kayıt görüntülenecektir:

Logstash'ten ArcSight Logger'a yeni kullanıcı kartı