ePO は、受信した脅威イベントを、登録済みのサーバーとして ePO で定義されている syslog
サーバーに直接転送できます。この記事では、テストで使用する syslog
環境をセットアップする方法について説明します。
注: この記事は、イベントを既存の syslog サーバーに転送する際の問題のトラブルシューティングを目的としていません。 代わりに、テストや評価目的のためのシンプルで自由なシスログ環境のセットアップを支援することを目的としています。
前提条件
開始する前に、ePO 5.9.0 以降がインストールされている必要があります。
次のソフトウェアが必要です。
- VMWare Player や VirtualBoxなど、仮想マシンを実行できるハイパーバイザー。
- Bitnami Elk Stack: 仮想マシン (VM) として提供される 3 つの syslog コンポーネントのバンドル実装。
注: この記事の執筆時点 (2023 年 7 月)、Bitnami の現在のバージョンは 8.8.2-0 です。
- Bitnami ELK VMのデプロイと構成:
VM をダウンロードしてデプロイします。
- Bitnami Elk Stack をダウンロードし、環境にデプロイします。
- VM の電源をオンにします。
- ログオン画面には、デフォルトの Kibana ユーザーのユーザー名とランダムに生成されたパスワードが表示されます。 後で必要になるため、パスワードをメモしておきます (インストール中に変更する場合を除く)。
- デフォルトでは、IP アドレスは DHCP 経由で設定されます。 ログオン画面に表示される IP アドレスをメモします。
- デフォルトのユーザー名 bitnami を使用して VM にログオンします。 パスワードはbitnamiです。
- bitnami ユーザーの新しいパスワードを選択するように求められます。 安全なパスワードを選択してください。
オプションの手順:
これらの手順を実行する必要はありませんが、syslog VM の編集またはトラブルシューティングが必要な場合は、実行することで作業が簡単になります。
オプションの手順 1 - root ログインと SSH アクセスを有効にする
- root ログオンを有効にするには、次のコマンドを実行して Enter キーを押し、新しい安全なパスワードを確認します。
sudo passwd root
- SSH を有効にするには、次のコマンドを実行します。
sudo rm -f /etc/ssh/sshd_not_to_be_run
sudo systemctl enable ssh
sudo systemctl start ssh
- root ssh アクセスを有効にします。
- /etc/ssh/sshd_configを編集します。
sudo nano /etc/ssh/sshd_config
- PermitRootLogin.で始まる行を見つけます。
- no を yes. に変更します。 最後の行は次のようになります。
PermitRootLogin yes
- PasswordAuthentication で始まる行を見つけて、 no を yes に変更します。
- ChallengeResponseAuthentication で始まる行を見つけて、再度 no を yes に変更します。
- ファイルを保存します。
- SSH サーバーを再起動するには、次のコマンドを実行します。
sudo systemctl restart ssh
オプションの手順 2 - ホスト名を変更する
VM のデフォルトのホスト名は
debian です。
- /etc/hostname を編集し、必要なホスト名で更新します。
- /etc/hosts を編集し、127.0.0.1 エントリに必要なホスト名で更新します。
- VM を再起動して変更を適用するには、次のコマンドを実行します。
sudo shutdown -r now
- 自己署名証明書の作成:
ePO で syslog レシーバーを使用するには、TCP と TLS を使用する必要があります。 この記事では、自己署名証明書を作成して使用します。
- bitnami ユーザーを使用して VM に再度ログインします。
- 次のコマンドを実行します。
sudo mkdir /opt/bitnami/logstash/ssl
cd /opt/bitnami/logstash/ssl
sudo openssl req -x509 -days 3650 -nodes -newkey rsa:2048 -keyout logstash-remote.key -out logstash-remote.crt
- プロンプトが表示されたら、証明書の詳細を入力します。 共通名を VM の完全修飾ドメイン名 (FQDN) に設定します。
- キー ファイルのアクセス許可を変更し、logstash による読み取りを許可するには、次のコマンドを入力します。
sudo chmod 644 logstash-remote.key
- syslog レシーバー (logstash)の設定:
- ファイル /opt/bitnami/logstash/pipeline/logstash.conf を編集します。
- tcp セクションを次のように編集します。
ssl_cert => "/opt/bitnami/logstash/ssl/logstash-remote.crt"
ssl_key => "/opt/bitnami/logstash/ssl/logstash-remote.key"
- output セクションを次のように編集します。
output {
elasticsearch {
hosts => ["127.0.0.1:9200"]
document_id => "%{LOGSTASH_CHECKSUM}"
index => "eposyslog-%{+YYYY.MM.dd}"
}
}
- ファイルを保存します。
- nftables ファイアウォール構成ファイルを編集して、ポート 6514 への受信接続を許可します。
sudo nano /etc/nftables.conf
- tcp dport で始まる行を見つけて、ポートのリストに 6514 を追加します。 最後の行は次のようになります。
tcp dport { 22, 80, 443, 6514 } accept
- ファイルを保存します。
- 次のコマンドを実行してファイアウォールを再起動します。
sudo systemctl restart nftables.service
オプションの手順 3 - デフォルトのユーザーのパスワードを変更します。
- 前述したように、VM をインストールすると、デフォルトのユーザー アカウントにランダムなパスワードが構成されます。 パスワードを変更する場合は、次のコマンドを実行します。
sudo /opt/bitnami/apache2/bin/htpasswd -c /opt/bitnami/kibana/config/password user
- プロンプトが表示されたら、新しいパスワードを入力します。
- logstash を再起動するには、次のコマンドを入力します。
sudo /opt/bitnami/ctlscript.sh restart logstash
インストールの完了:
最後に、次のコマンドを実行して VM をもう一度再起動します。
sudo shutdown -r now
これで、ePO が使用できる機能する syslog サーバーが完成しました。
- 新しいサーバーを使用するように ePO を構成します。
- ePO コンソールにログオンします。
- メニュー、 設定、 登録済みのサーバーに移動します。
- 新しいサーバー をクリックします。
- 説明ページで、サーバー タイプ メニューから Syslog サーバー を選択します。
- 一意の名前と詳細を指定し、次へ をクリックします。
- 登録済みのサーバー ビルダー ページで、次の設定を行います。
- サーバー名 - syslog サーバーの IP アドレスを入力します。
- TCP ポート番号 - 6514 を入力します。
- インベント転送を有効にする - このオプションにより、エージェント ハンドラーからこの syslog サーバーへのイベント転送が有効になります。
- Test接続をクリックします。 このアクションを実行すると、syslog サーバーとの接続が確認されます。次のようなメッセージが表示されます。
Syslog connection success
- 保存 をクリックします。
- Web ブラウザを使用して syslog サーバーにアクセスできるようになりました。
- 手順 1 でメモした IP アドレスをブラウザの URL に入力します。.
- ログオンするよう求められます。 ユーザー名にはデフォルトのユーザーを使用し、手順 1 でメモしたランダムなパスワードを使用します。
注: オプションの手順 3 でパスワードをリセットした場合は、最初にメモしたランダムなパスワードではなく、必ずそのパスワードを使用してください。
Elastic ホームページが Start by adding integrations ダイアログ ボックスとともに表示されます。
- Explore on my own リンクをクリックします。
- 左上隅にあるメニュー アイコンをクリックし、下にスクロールして、 Stack Management を選択します。
- Data で Index Management を選択します。 Indices タブに eposyslog-<date> という名前のインデックスが少なくとも 1 つ表示されるはずです。
ここで, <date> は現在の日付です。
- Kibana で Data Views を選択します。 Create Data View をクリックします。
- data view を設定します。
- 名前を入力します。 例: ePO Syslog
- Index Pattern フィールドに eposislog* と入力します。
- Timestamp フィールドで @timestamp を選択します。
- Save data view to kibana をクリックします。
- 受信した syslog イベントを表示するには、左上隅のメニューから Discover を選択します。
次のメッセージとともに少なくとも 1 つのイベントが表示されます。
If you can see this, ePO has successfully tested the connection to your syslog receiver.
これで、ePO で使用する syslog 環境が構成されました。