Logstash aracılığıyla IBM QRadar¶

Bu talimatlar, Wallarm'ın Logstash veri toplayıcısı ile entegrasyonunun bir örneğini sunar; olaylar daha sonra QRadar SIEM sistemine iletilir.

The most common logging scheme in complex systems consists of the following components:

Data collector: accepts logs from several sources and forwards logs to the SIEM system
SIEM system or log management systems: used to analyze logs and monitor the system status

Kullanılan kaynaklar¶

Logstash 7.7.0 Debian 11.x (bullseye) üzerine kuruludur ve https://logstash.example.domain.com adresinden erişilebilir
QRadar V7.3.3 Linux Red Hat üzerinde kuruludur ve https://109.111.35.11:514 IP adresiyle erişilebilir
Logstash entegrasyonunu yapılandırmak için EU cloud içindeki Wallarm Console'a yönetici erişimi

Wallarm Cloud IP addresses

To provide Wallarm Cloud access to your system, you may need a list of its public IP addresses:

US CloudEU Cloud

35.235.66.155
34.102.90.100
34.94.156.115
35.235.115.105
34.94.85.217
34.94.51.234
34.102.59.122
34.94.238.72
35.235.100.79
34.102.45.38
34.94.241.21
34.102.90.100
34.94.203.193
34.94.238.221
34.94.9.23

34.141.230.156
34.91.138.113
34.90.114.134
35.204.127.78
34.90.24.155

Logstash ve QRadar servislerine ait bağlantılar örnek olarak verildiğinden yanıt vermezler.

Logstash yapılandırması¶

Wallarm günlükleri webhooks aracılığıyla ara veri toplayıcı olan Logstash'e gönderdiğinden, Logstash yapılandırmasının aşağıdaki gereksinimleri karşılaması gerekir:

POST veya PUT isteklerini kabul etsin
HTTPS isteklerini kabul etsin
Genel erişilebilir bir URL'ye sahip olsun
Günlükleri IBM QRadar'a iletsin; bu örnekte iletim için syslog eklentisi kullanılır

Logstash, logstash-sample.conf dosyasında yapılandırılmıştır:

Gelen webhook işleme input bölümünde yapılandırılır:
- Trafik 5044 numaralı porta gönderilir
- Logstash yalnızca HTTPS bağlantılarını kabul edecek şekilde yapılandırılmıştır
- Genel olarak güvenilen bir CA tarafından imzalanmış Logstash TLS sertifikası /etc/server.crt dosyasındadır
- TLS sertifikasının özel anahtarı /etc/server.key dosyasındadır
QRadar'a günlük iletimi ve günlük çıktısı output bölümünde yapılandırılır:
- Tüm olay günlükleri Logstash'tan QRadar'a https://109.111.35.11:514 IP adresine iletilir
- Günlükler Syslog standardına uygun olarak JSON biçiminde Logstash'tan QRadar'a iletilir
- QRadar ile bağlantı TCP üzerinden kurulur
- Ayrıca Logstash günlükleri komut satırına yazdırılır (kodun 15. satırı). Bu ayar, olayların Logstash üzerinden günlüğe kaydedildiğini doğrulamak için kullanılır

input {
  http { # HTTP ve HTTPS trafiği için input eklentisi
    port => 5044 # gelen istekler için port
    ssl => true # HTTPS trafiği işleme
    ssl_certificate => "/etc/server.crt" # Logstash TLS sertifikası
    ssl_key => "/etc/server.key" # TLS sertifikası için özel anahtar
  }
}
output {
  syslog { # Logstash'tan Syslog ile günlük iletimi için output eklentisi
    host => "109.111.35.11" # günlüklerin iletileceği IP adresi
    port => "514" # günlüklerin iletileceği port
    protocol => "tcp" # bağlantı protokolü
    codec => json # iletilen günlüklerin biçimi
  }
  stdout {} # Logstash günlüklerini komut satırına yazdırmak için output eklentisi
}

Yapılandırma dosyalarının daha ayrıntılı açıklaması resmi Logstash belgelerinde mevcuttur.

Logstash yapılandırmasını test etme

Logstash günlüklerinin oluşturulup QRadar'a iletildiğini doğrulamak için Logstash'e POST isteği gönderilebilir.

İstek örneği:

curl -X POST 'https://logstash.example.domain.com' -H "Content-Type: application/json" -d '{"key1":"value1", "key2":"value2"}'

Logstash günlükleri:

QRadar günlükleri:

QRadar günlük yükü:

QRadar yapılandırması (isteğe bağlı)¶

QRadar'da günlük kaynağı yapılandırılır. Bu, QRadar'daki tüm günlükler arasında Logstash günlüklerini kolayca bulmaya yardımcı olur ve ayrıca ileride günlük filtreleme için de kullanılabilir. Günlük kaynağı şu şekilde yapılandırılır:

Günlük Kaynağı Adı: Logstash
Günlük Kaynağı Açıklaması: Logstash'tan günlükler
Günlük Kaynağı Türü: Syslog standardı ile kullanılan gelen günlük ayrıştırıcısı türü Universal LEEF
Protokol Yapılandırması: günlük iletim standardı Syslog
Günlük Kaynağı Tanımlayıcısı: Logstash IP adresi
Diğer varsayılan ayarlar

QRadar günlük kaynağı kurulumunun daha ayrıntılı açıklaması resmi IBM belgelerinde mevcuttur.

Logstash entegrasyonunun yapılandırılması¶

Webhooks are sent to https://logstash.example.domain.com
Webhooks are sent via POST requests
The webhook integration has default advanced settings
Webhooks sent to Webhook URLs are all available events: hits, system events, vulnerabilities, scope changes

Logstash entegrasyonunun yapılandırması hakkında daha fazla ayrıntı

Örnek test¶

To test the configuration, a new user is added in Wallarm Console:

Logstash olayı aşağıdaki gibi günlüğe kaydedecektir:

QRadar günlük yükünde aşağıdaki JSON biçimli veriler görüntülenecektir: