IBM QRadar через Logstash¶

В этой инструкции описан пример интеграции Вебмониторэкс с IBM QRadar через промежуточный коллектор логов Logstash.

Схема логирования событий в комплексных системах может состоять из нескольких компонентов, например:

Коллектор логов: принимает логи от нескольких источников и выгружает логи в SIEM-систему.
SIEM-система или другая система управления логами: используется для анализа логов и мониторинга состояния системы.

Чтобы логировать события Вебмониторэкс в Logstash → IBM QRadar таким образом, ознакомьтесь с приведенным примером интеграции.

Используемые ресурсы¶

Logstash 7.7.0, установленный на Debian 11.x (bullseye) и доступный по адресу https://logstash.example.domain.com
QRadar V7.3.3, установленный на Linux Red Hat и доступный по IP‑адресу https://109.111.35.11:514
Доступ администратора к Консоли управления Вебмониторэкс для настройки интеграции с Logstash

IP-адреса Вычислительного кластера Вебмониторэкс

Для предоставления Вычислительному кластеру Вебмониторэкс доступа к вашей системе, вам может понадобиться список публичных IP-адресов Вычислительного кластера:

https://my.wallarm.ru/: 158.160.45.107
https://my.webmonitorx.ru/: 51.250.73.199

Ссылки на сервисы Logstash и QRadar приведены в документации в качестве примера и недоступны для внешнего использования.

Настройка Logstash¶

Вебмониторэкс отправляет логи в промежуточный коллектор логов через вебхуки. Поэтому для корректной интеграции конфигурация Logstash должна соответствовать следующим требованиям:

Принимать POST- или PUT-запросы
Принимать запросы по протоколу HTTPS
Иметь публичный URL
Выводить логи в IBM Qradar, в примере для этого используется плагин syslog

Пример настройки Logstash описан в конфигурационном файле logstash-sample.conf:

Обработка входящих вебхуков настроена в секции input:
- Трафик поступает на порт 5044
- Logstash обрабатывает только HTTPS‑соединения
- TLS-сертификат для Logstash расположен в файле /etc/server.crt
- Приватный ключ сертификата расположен в файле /etc/server.key
Отправка логов в QRadar и вывод логов настроены в секции output:
- Логи всех событий из Logstash отправляются в QRadar по IP‑адресу https://109.111.35.11:514
- Логи из Logstash в QRadar отправляются в формате JSON по стандарту Syslog
- Соединение с QRadar выполняется по протоколу TCP
- Логи Logstash дополнительно выводятся в командную строку (15 строка кода). Настройка используется для проверки, что события записываются в логи Logstash

input {
  http { # input‑плагин для HTTP и HTTPS‑трафика
    port => 5044 # порт для входящих запросов
    ssl => true # обработка HTTPS‑соединения
    ssl_certificate => "/etc/server.crt" # TLS-сертификат для Logstash
    ssl_key => "/etc/server.key" # приватный ключ сертификата
  }
}
output {
  syslog { # output‑плагин для отправки логов из Logstash по стандарту Syslog
    host => "109.111.35.11" # IP‑адрес, на который отправляются логи
    port => "514" # порт, на который отправляются логи
    protocol => "tcp" # протокол соединения
    codec => json # формат отправки логов
  }
  stdout {} # output‑плагин для вывода логов Logstash в командную строку
}

Более подробное описание конфигурационного файла доступно в официальной документации Logstash.

Тестирование настроек Logstash

Чтобы протестировать запись логов в Logstash и выгрузку данных в QRadar, можно отправить POST‑запрос в Logstash.

Пример запроса:

curl -X POST 'https://logstash.example.domain.com' -H "Content-Type: application/json" -d '{"key1":"value1", "key2":"value2"}'

Логи Logstash:

Логи QRadar:

Payload лога в QRadar:

Настройка QRadar (опционально)¶

На стороне QRadar выполнена настройка источника логов. Это позволяет отличать логи Logstash от остального списка логов в QRadar, а также может использоваться для дальнейшей сортировки логов. Источник логов настроен следующим образом:

Log Source Name: название источника логов Logstash
Log Source Description: описание источника логов Logs from Logstash
Log Source Type: тип парсера для входящих логов Universal LEEF, используется для стандарта Syslog
Protocol Configuration: стандарт передачи логов Syslog
Log Source Identifier: идентификатор источника логов, используется IP‑адрес Logstash
Остальные настройки по умолчанию

Более подробная информация о настройке источника логов в QRadar доступна в официальной документации IBM.

Настройка источника логов Logstash в QRadar

Настройка интеграции с Logstash¶

Вебхуки отправляются на https://logstash.example.domain.com
Для отправки вебхуков используются запросы типа POST
В расширенных настройках интеграции заданы значения по умолчанию
Вебхуки отправляют на Webhook URL все доступные события: хиты, системные события, уязвимости, изменения сетевого периметра

Подробнее о настройке интеграции с Logstash

Тестирование примера¶

Для тестирования настроек в Консоли управления Вебмониторэкс добавляется новый пользователь:

В логах Logstash появится запись:

Запись о новом пользователе в логах Logstash

В payload лога в QRadar отобразится лог Logstash:

Карточка о новом пользователе Logstash в QRadar