Export von JSONL-Daten an Logstash über einen verschlüsselten Kanal
Ziel
Die Daten, die eine oder mehrere Installationen von Threat Defender über einen Datenstrom erfasst haben, können mit einer Logstash-Instanz gesammelt, in eine oder mehrere Instanzen von Elasticsearch geschrieben und mit Kibana ausgewertet werden.
Voraussetzungen
Für die Verschlüsselung über TLS wird folgendes benötigt:
eine Zertifizierungsstelle (CA) im Format .pem, die selbstsigniert oder von einer vertrauenswürdigen CA signiert ist,
ein von dieser Zertifizierungsstelle ausgestelltes Zertifikat und
ein zu diesem Zertifikat gehöriger Private Key.
Diese müssen im Verzeichnis der Logstash Pipeline vorhanden sein.
Einrichtung von Logstash
Passen Sie im Verzeichnis der Logstash-Pipeline die Datei logstash.conf
an, um Eingabe, Verarbeitung und Ausgabe festzulegen:
input {
tcp {
port => 5000
ssl_enable => true
ssl_verify => true
ssl_cert => "/pfad/zu/ihrem/server/zertifikat.pem"
ssl_key => "/pfad/zu/ihrem/server/key.pem"
ssl_extra_chain_certs => ["/pfad/zu/ihrem/server/certificate-authority.pem"]
ssl_certificate_authorities => ["/pfad/zu/ihrem/cTD/certificate-authority.pem"]
codec => json_lines {
ecs_compatibility => v1
}
}
}
## Fügen Sie hier Ihre Konfiguration für Filter-/Logstash-Plugins ein
output {
elasticsearch {
hosts => "elasticsearch:9200"
user => "logstash_internal"
password => "${LOGSTASH_INTERNAL_PASSWORD}"
}
}
Einrichtung von Threat Defender
Konfigurieren Sie Threat Defender so, dass JSONL-Daten an Logstash gesendet werden:
Gehen Sie auf Logging > Report Channels.
Klicken Sie Add, um einen neuen Benachrichtigungskanal hinzuzufügen.
Auf dem Einstellungsbildschirm stellen Sie Folgendes ein:
Report Type:
JSONL
Message Type: Wählen Sie
Flow Reports
. Sie können nach Bedarf zusätzliche Typen auswählen.Endpoint:
TLS encryption
Hostname: Geben Sie den Hostnamen Ihrer Logstash-Installation ein. Achten Sie darauf, dass der Hostname mit dem Common Name übereinstimmt, der im Logstash-Zertifikat angegeben ist.
Port:
5000
(der Port Ihrer Logstash-Installation wie inlogstash.conf
definiert)Reconnection Delay:
15 seconds
Remote certificate authority: Wählen Sie die CA der Gegenstelle aus, die in der Logstash-Konfiguration angegeben ist.
Klicken Sie auf SAVE, um Ihre Einstellungen zu speichern und das Einstellungsfenster zu schließen. Der neue JSONL-Kanal wird nun in der Liste der konfigurierten Benachrichtigungskanäle angezeigt.
Klicken Sie auf APPLY CHANGES oben in der Hauptnavigation, um Ihre Konfigurationsänderungen zu aktivieren.
Als Ergebnis sollte der Status des neu konfigurierten JSONL-Kanals auf connected
wechseln und eine steigende Anzahl von übertragenen Ereignissen anzeigen.
Prüfung von Kibana
Öffnen Sie Kibana in Ihrem Browser (siehe die Dokumentation von Kibana für weitere Informationen). Sie können im SIEM-Bereich vordefinierte Statistiken ansehen oder im Bereich Discover
eigene Untersuchungen anstellen.