Ana içeriğe geç

IBM QRadar via Logstash

Bu talimatlar, Wallarm ile Logstash veri toplayıcısının örnek entegrasyonunu sağlayarak olayların QRadar SIEM sistemine iletilmesini açıklar.

The most common logging scheme in complex systems consists of the following components:

  • Data collector: accepts logs from several sources and forwards logs to the SIEM system

  • SIEM system or log management systems: used to analyze logs and monitor the system status

Webhook flow

Kullanılan Kaynaklar

Wallarm Cloud IP addresses

To provide Wallarm Cloud access to your system, you may need a list of its public IP addresses:

35.235.66.155
34.102.90.100
34.94.156.115
35.235.115.105
34.94.85.217
34.94.51.234
34.102.59.122
34.94.238.72

34.141.230.156
34.91.138.113
34.90.114.134
35.204.127.78

Logstash ve QRadar servislerine ait bağlantılar örnek olarak verildiğinden, bunlar yanıt vermemektedir.

Logstash yapılandırması

Wallarm, logları webhooks aracılığıyla Logstash ara veri toplayıcısına gönderdiğinden, Logstash yapılandırması aşağıdaki gereksinimleri karşılamalıdır:

  • POST veya PUT isteklerini kabul etmelidir

  • HTTPS isteklerini kabul etmelidir

  • Genel (public) URL'ye sahip olmalıdır

  • Logları IBM QRadar'a iletmelidir, bu örnekte logları iletmek için syslog eklentisi kullanılmaktadır

Logstash, logstash-sample.conf dosyasında yapılandırılmıştır:

  • Gelen webhook işleme, input bölümünde yapılandırılmıştır:

    • Trafik port 5044'e gönderilir
    • Logstash yalnızca HTTPS bağlantılarını kabul edecek şekilde yapılandırılmıştır
    • Genel olarak güvenilen bir CA tarafından imzalanmış Logstash TLS sertifikası /etc/server.crt dosyasında bulunmaktadır
    • TLS sertifikası için özel anahtar /etc/server.key dosyasında bulunmaktadır

  • QRadar'a log iletimi ve log çıktısı, output bölümünde yapılandırılmıştır:

    • Tüm olay logları, Logstash'ten QRadar'a https://109.111.35.11:514 IP adresine iletilir
    • Loglar, Logstash'ten QRadar'a, Syslog standardına uygun JSON formatında iletilir
    • QRadar ile bağlantı TCP üzerinden kurulur
    • Logstash logları ayrıca komut satırında yazdırılır (15. kod satırı). Bu ayar, olayların Logstash aracılığıyla loglandığını doğrulamak için kullanılır
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
input {
  http { # input plugin for HTTP and HTTPS traffic
    port => 5044 # port for incoming requests
    ssl => true # HTTPS traffic processing
    ssl_certificate => "/etc/server.crt" # Logstash TLS certificate
    ssl_key => "/etc/server.key" # private key for TLS certificate
  }
}
output {
  syslog { # output plugin to forward logs from Logstash via Syslog
    host => "109.111.35.11" # IP address to forward logs to
    port => "514" # port to forward logs to
    protocol => "tcp" # connection protocol
    codec => json # format of forwarded logs
  }
  stdout {} # output plugin to print Logstash logs on the command line
}

Yapılandırma dosyalarına ilişkin daha ayrıntılı açıklama, resmi Logstash dokümantasyonunda mevcuttur.

Logstash Yapılandırmasının Test Edilmesi

Logstash loglarının oluşturulduğunu ve QRadar'a iletildiğini kontrol etmek için, Logstash'e POST isteği gönderilebilir.

İstek örneği:

curl -X POST 'https://logstash.example.domain.com' -H "Content-Type: application/json" -d '{"key1":"value1", "key2":"value2"}'

Logstash logları:
Logs in Logstash

QRadar logları:
Logs in QRadar

QRadar log yükü:
Logs in QRadar

QRadar Yapılandırması (isteğe bağlı)

QRadar'da log kaynağı yapılandırılır. Bu, QRadar'daki tüm loglar arasında Logstash loglarını kolayca bulmaya yardımcı olur ve ayrıca ileri düzey log filtrelemesi için de kullanılabilir. Log kaynağı aşağıdaki şekilde yapılandırılır:

  • Log Source Name: Logstash

  • Log Source Description: Logs from Logstash

  • Log Source Type: Syslog standardı kullanılarak gelen log ayrıştırıcısının türü Universal LEEF

  • Protocol Configuration: Log iletim standardı Syslog

  • Log Source Identifier: Logstash IP adresi

  • Diğer varsayılan ayarlar

QRadar log kaynağı kurulumu hakkında daha ayrıntılı açıklama resmi IBM dokümantasyonunda mevcuttur.

Logstash için QRadar log kaynağı kurulumu

Logstash entegrasyonunun yapılandırılması

  • Webhooks are sent to https://logstash.example.domain.com

  • Webhooks are sent via POST requests

  • The webhook integration has default advanced settings

  • Webhooks sent to Webhook URLs are all available events: hits, system events, vulnerabilities, scope changes

Logstash ile Webhook entegrasyonu

Logstash entegrasyon yapılandırmasıyla ilgili daha fazla ayrıntı

Örnek test

To test the configuration, a new user is added in Wallarm Console:

Adding user

Logstash olayı aşağıdaki şekilde loglayacaktır:

QRadar'da Logstash'tan gelen yeni kullanıcı logu

QRadar log yükünde JSON formatında aşağıdaki veriler görüntülenecektir:

QRadar'da Logstash'tan gelen yeni kullanıcı kartı