IBM QRadar через Fluentd¶
Обзор примера¶
Вебхуки могут использоваться как один из источников логов в системе. Общее количество подобных источников зависит от сложности системы: чем больше компонентов в системе, тем больше количество источников и объем логов. Наиболее распространенная схема логирования в сложных системах состоит из компонентов:
-
Сборщик логов: принимает логи от нескольких источников и выгружает логи в SIEM-систему.
-
SIEM-система: используется для анализа логов и мониторинга состояния системы.
В приведенном примере уведомления о событиях отправляются через вебхуки в сборщик логов Fluentd и выгружаются в SIEM‑систему QRadar.
Используемые ресурсы¶
-
Fluentd, установленный на Debian 10.4 (Buster) и доступный по адресу
https://fluentd-example-domain.com
-
QRadar V7.3.3, установленный на Linux Red Hat и доступный по IP‑адресу
https://109.111.35.11:514
-
Доступ администратора к Консоли управления Валарм в EU‑облаке для настройки webhook‑интеграции
IP-адреса Облака Валарм
Для предоставления Облаку Валарм доступа к вашей системе, вам может понадобиться список публичных IP-адресов Облака. Чтобы получить список этих адресов, обратитесь в службу поддержки Валарм.
Обратите внимание, что публичные IP-адреса Облака Валарм могут изменяться время от времени. Если у вас возникают проблемы с используемыми адресами, обратитесь за актуальным списком в службу поддержки Валарм.
Ссылки на сервисы Fluentd и QRadar приведены в документации в качестве примера и недоступны для внешнего использования.
Настройка Fluentd¶
Настройка Fluentd описана в конфигурационном файле td-agent.conf
:
-
Обработка входящих вебхуков настроена в директиве
source
:- Трафик поступает на порт 9880
- Fluentd обрабатывает только HTTPS‑соединения
- TLS-сертификат для Fluentd расположен в файле
/etc/ssl/certs/fluentd.crt
- Приватный ключ сертификата расположен в файле
/etc/ssl/private/fluentd.key
-
Отправка логов в QRadar и вывод логов настроены в директиве
match
:- Логи всех событий копируются из Fluentd и отправляются в QRadar по IP‑адресу
https://109.111.35.11:514
- Логи из Fluentd в QRadar отправляются в формате JSON по стандарту Syslog
- Соединение с QRadar выполняется по протоколу TCP
- Логи Fluentd дополнительно выводятся в командную строку в формате JSON (19-22 строки кода). Настройка используется для проверки, что события записываются в логи Fluentd
- Логи всех событий копируются из Fluentd и отправляются в QRadar по IP‑адресу
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
|
Более подробное описание конфигурационного файла доступно в официальной документации Fluentd.
Тестирование настроек Fluentd
Чтобы протестировать запись логов в Fluentd и выгрузку данных в QRadar, можно отправить POST или PUT‑запрос в Fluentd.
Пример запроса:
curl -X POST 'https://fluentd-example-domain.com' -H "Content-Type: application/json" -d '{"key1":"value1", "key2":"value2"}'
Логи Fluentd:
Логи QRadar:
Payload лога в QRadar:
Настройка QRadar (опционально)¶
На стороне QRadar выполнена настройка источника логов. Это позволяет отличать логи Fluentd от остального списка логов в QRadar, а также может использоваться для дальнейшей сортировки логов. Источник логов настроен следующим образом:
-
Log Source Name: название источника логов
Fluentd
-
Log Source Description: описание источника логов
Logs from Fluentd
-
Log Source Type: тип парсера для входящих логов
Universal LEEF
, используется для стандарта Syslog -
Protocol Configuration: стандарт передачи логов
Syslog
-
Log Source Identifier: идентификатор источника логов, используется IP‑адрес Fluentd
-
Остальные настройки по умолчанию
Более подробная информация о настройке источника логов в QRadar доступна в официальной документации IBM.
Настройка webhook‑интеграции¶
-
Вебхуки отправляются на
https://fluentd-example-domain.com
-
Для отправки вебхуков используются запросы типа POST
-
В запросе передается дополнительный параметр аутентификации
X-Auth-Token
-
Вебхуки отправляют на Webhook URL все доступные события: хиты, системные события, уязвимости, изменения сетевого периметра
Тестирование примера¶
Для тестирования настроек в Консоли управления Валарм добавляется новый пользователь:
В логах Fluentd появится запись:
В payload лога в QRadar отобразится информация о добавленном пользователе в формате JSON: