QRadar’da SFTP Log Kaynağı Ekleme

Merhabalar, bu yazıda IBM Security ürünü olan QRadar’da SFTP yöntemi ile log kaynağı ekleme yönteminden bahsedeceğiz.

Öncelikle loglarını alacağınız sistemde QRadar’ın erişimini sağlayacak bir SIEM kullanıcısı oluşturmanız gerekmekte. Bu SIEM kullanıcısına sadece read yani okuma yetkisi tanımlanmalı. (Güvenlik sebeplerinden ötürü)

SFTP, log dosyalarını çekmek için SSH kullanır. Şirketler de güvenlik endişelerinden ötürü FTP yerine SFTP protokolünü tercih ederler. SFTP ve FTP konfigürasyonları protokol seçimleri dışında aynıdır.

Log dosyasından log okumak için, ilk olarak, Admin Panelini açıyor sonrasında Log Sources butonuna tıklıyoruz.

Açılan pencereden ‘Add’ tuşuna tıklıyoruz, log kaynağını eklemeye başlıyoruz.

Log Source Name ve Log Source Description alanlarına çalıştığınız kurumun veya sizin oluşturduğunuz bir standart varsa girebilirsiniz. Bu alanlara yazacağınız değerler, log kaynağı entegrasyonunu etkilemez.

Log Source Type, Universal DSM seçilmeli,
Protocol Configuration, dosyadan bir okuma gerçekleştireceğimiz için Log File girilmeli,
Log Source Identifier alanına, hostname veya IP adresi
Service Type alanına, SFTP
Remote IP or Hostname bölümüne ise, sunucunun IP adresini veya sunucu adı girilmeli.
Remote Port alanına default olarak 22 giriliyor, fakat firewall ayarlarını başka bir port üzerinden ayarladıysanız, o port numarasını girmelisiniz.
Remote User ve Remote Password alanlarına yukarıda bahsettiğimiz gibi oluşturulan okuma yetkisinde olan kullanıcı ve parolasını yazılmalıdır.
SSH Key File yerini boş bırakabilirsiniz, çünkü onun yerine kullanıcı parolası alanını doldurduk. Bu alanın doldurulması Remote Password alanının gözardı edilmesine sebep olacaktır.
Remote Directory alanına, bağlanılan sunucuda log dosyasının tutulduğu konum girilmeli.
Recursive alanı, dosya uzantısının alt dizinlerde de aranmasının istendiği durumlarda seçili olmalıdır.
FTP File Pattern alanında, seçilmek istenen dosyanın isim formatına göre RegEx yazılmalıdır. Benim Remote Directory alanına girdiğim lokasyona eklenen dosya csv uzantılı olduğundan ve yenisi eklendiği zaman eskisi silindiğinden ötürü, o konumda bulunan tüm csv dosyalarını çekmek için (.*?).csv yazdım.
Start Time alanına işlemin başlayacağı zamanı,
Recurrence alanına ise işlemin ne kadar süre ile tekrarlanacağı yazılmalıdır. Saat için H, gün için D, hafta için W sembolü kullanılmaktadır. Dolayısıyla 1 saatte bir kez çekmek için 1H yazılması yeterlidir.

Eğer bağlantı sağlanan sunucu, farklı log dosyalarını farklı dizinlere atıyorsa aynı sunucu için birden fazla entegrasyon yapmanız gerekecektir. Bunu yaparken, eğer ilk entegrasyonda girdiğiniz Log Source Type ve Protocol Configuration alanları aynıysa, Log Source Identifier alanına da aynı değeri girdiğiniz zaman
“A log source of this log source type and protocol configuration already exists for the specified Log Source Identifier” şeklinde bir uyarı ile karşılaşacaksınızdır.
Bunun için eğer ilk entegrasyonda Log Source Identifier kısmına Remote IP değerini yazdıysanız, diğer entegrasyonda Hostname yazmanız gerekmekte.

Diğer paylaşımlarda görüşmek üzere.

Leave a Comment

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir