Сервер OSSEC или Wazuh сервер для конвейера Logstash к Qradar

Question

Сервер OSSEC или Wazuh сервер для конвейера Logstash к Qradar

В моей нынешней лабораторной установке у меня есть несколько машин с Windows и Linux с установленным агентом ossec и отправкой журналов на сервер ossec. С сервера OSSEC я пересылаю логи через вывод системного журнала в logstash. В logstash я не делаю никаких изменений, просто пересылаю простой журнал в qradar, как он был получен (я его проверил). Он имеет уровень оповещения, правила и события. Но в qradar он показывает единственный источник журналов, который является сервером logstash. Из logstash я отправляю журналы как syslog на qradar. В идеале в qradar все машины, отправляющие журналы в ossec, должны быть перечислены в источниках журналов, но этого не происходит. Что я здесь не так делаю? Любая помощь... Я перешел по этой ссылке https://www.ibm.com/support/knowledgecenter/en/SS42VS_DSM/t_DSM_guide_OSSEC_cfg.html вместо того, чтобы напрямую отправлять журналы в qradar, я поместил промежуточный список между ними.

0

logstash ossec

Источник

user7885178 17 дек '18 в 14:34

1 ответ

Другие вопросы по тегам logstash ossec

user1123206 17 дек '18 в 14:54 2018-12-17 14:54 · Answer 1 · 2018-12-17 14:54

Я не вижу в этом ничего плохого: если у вас есть Logstash между вашими устройствами и QRadar, то единственный источник журналов, о котором QRadar знает, это ваш сервер Logstash, это единственная служба, отправляющая данные на него.

Если вы хотите, чтобы ваши устройства ossec были указаны в качестве источников журналов в QRadar, я думаю, что вам нужно будет отправлять журналы напрямую в QRadar.

редактировать: я не очень хорошо знаю QRadar, но если возможно использовать теги или настраиваемые поля для идентификации источника журнала, возможно, вы можете добавить настраиваемое поле в конвейер logstash, и QRadar будет использовать это поле, чтобы знать, что источник журнала это не ваш сервер logstash, а другое устройство.