Export von JSONL-Daten an Logstash über einen verschlüsselten Kanal

Ziel

Die Daten, die eine oder mehrere Installationen von Threat Defender über einen Datenstrom erfasst haben, können mit einer Logstash-Instanz gesammelt, in eine oder mehrere Instanzen von Elasticsearch geschrieben und mit Kibana ausgewertet werden.

Voraussetzungen

Für die Verschlüsselung über TLS wird folgendes benötigt:

  • eine Zertifizierungsstelle (CA) im Format .pem, die selbstsigniert oder von einer vertrauenswürdigen CA signiert ist,

  • ein von dieser Zertifizierungsstelle ausgestelltes Zertifikat und

  • ein zu diesem Zertifikat gehöriger Private Key.

Diese müssen im Verzeichnis der Logstash Pipeline vorhanden sein.

Einrichtung von Logstash

Passen Sie im Verzeichnis der Logstash-Pipeline die Datei logstash.conf an, um Eingabe, Verarbeitung und Ausgabe festzulegen:

input {
        tcp {
                port => 5000
                ssl_enable => true
                ssl_verify => true
                ssl_cert => "/pfad/zu/ihrem/server/zertifikat.pem"
                ssl_key => "/pfad/zu/ihrem/server/key.pem"
                ssl_extra_chain_certs => ["/pfad/zu/ihrem/server/certificate-authority.pem"]
                ssl_certificate_authorities => ["/pfad/zu/ihrem/cTD/certificate-authority.pem"]
                codec => json_lines {
                        ecs_compatibility => v1
                }
        }
}

## Fügen Sie hier Ihre Konfiguration für Filter-/Logstash-Plugins ein

output {
        elasticsearch {
                hosts => "elasticsearch:9200"
                user => "logstash_internal"
                password => "${LOGSTASH_INTERNAL_PASSWORD}"
        }
}

Einrichtung von Threat Defender

Konfigurieren Sie Threat Defender so, dass JSONL-Daten an Logstash gesendet werden:

  1. Gehen Sie auf Logging > Report Channels.

  2. Klicken Sie Add, um einen neuen Benachrichtigungskanal hinzuzufügen.

  3. Auf dem Einstellungsbildschirm stellen Sie Folgendes ein:

    • Report Type: JSONL

    • Message Type: Wählen Sie Flow Reports. Sie können nach Bedarf zusätzliche Typen auswählen.

    • Endpoint: TLS encryption

    • Hostname: Geben Sie den Hostnamen Ihrer Logstash-Installation ein. Achten Sie darauf, dass der Hostname mit dem Common Name übereinstimmt, der im Logstash-Zertifikat angegeben ist.

    • Port: 5000 (der Port Ihrer Logstash-Installation wie in logstash.conf definiert)

    • Reconnection Delay: 15 seconds

    • Remote certificate authority: Wählen Sie die CA der Gegenstelle aus, die in der Logstash-Konfiguration angegeben ist.

  4. Klicken Sie auf SAVE, um Ihre Einstellungen zu speichern und das Einstellungsfenster zu schließen. Der neue JSONL-Kanal wird nun in der Liste der konfigurierten Benachrichtigungskanäle angezeigt.

Klicken Sie auf APPLY CHANGES oben in der Hauptnavigation, um Ihre Konfigurationsänderungen zu aktivieren.

Als Ergebnis sollte der Status des neu konfigurierten JSONL-Kanals auf connected wechseln und eine steigende Anzahl von übertragenen Ereignissen anzeigen.

Prüfung von Kibana

Öffnen Sie Kibana in Ihrem Browser (siehe die Dokumentation von Kibana für weitere Informationen). Sie können im SIEM-Bereich vordefinierte Statistiken ansehen oder im Bereich Discover eigene Untersuchungen anstellen.