Kubernetes Auditing

Le DSM IBM QRadar pour Kubernetes collecte des événements d'audit à partir d'un nœud principal Kubernetes, Kube-apiserver.

Pour intégrer Kubernetes à QRadar, procédez comme suit :
  1. Si les mises à jour automatiques ne sont pas activées, les RPM peuvent être téléchargés à partir du site Web d'assistance IBM® (http://www.ibm.com/support). Téléchargez et installez la version la plus récente des RPM suivants sur votre QRadar Console :
    • DSM Common RPM
    • Kubernetes Audit de DSM RPM
  2. Configurez votre noeud maître Kubernetes Kube-apiserver pour envoyer des événements à QRadar.
  3. Créez une copie du fichier de règles d'audit. Pour plus d'informations, consultez la documentation de Kubernetes relative aux Règles d'audit (https://kubernetes.io/docs/tasks/debug-application-cluster/audit/#audit-policy).
  4. Configurez rsyslog sur votre système Linux® hébergé sur le maître Kubernetes . Pour plus d'informations sur la configuration de rsyslog, voir Configuration de rsyslog sur un serveur de journalisation (https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/system_administrators_guide/ch-viewing_and_managing_log_files#s1-configuring_rsyslog_on_a_logging_server).
  5. Si QRadar ne détecte pas automatiquement la source du journal, ajoutez une source de journal Kubernetes Auditing à QRadar Console.
Remarque: La charge d'événement d'audit Kubernetes peut dépasser 32 000 octets. La longueur du contenu QRadar syslog par défaut est de 4 096 octets. Vous pouvez augmenter la taille du contenu du syslog QRadar à 32 000 octets. Pour plus d'informations sur l'augmentation de la QRadar taille maximale de la charge utile, voir QRadar® : TCP Syslog Maximum Payload Message Length for QRadar Appliances (https://www.ibm.com/support/pages/qradar-tcp-syslog-maximum-payload-message-length-qradar-appliances).

Si les événements d'audit Kubernetes dépassent 32 000 octets, ils sont tronqués par QRadar. Pour éviter que les événements ne soient tronqués, réglez votre politique d'audit Kubernetes pour renvoyer moins de données.