通信のための Kubernetes 監査の構成 QRadar

Kubernetes 監査からすべてのイベントを収集するには、syslog サーバーとして IBM QRadar を指定する必要があります。

始める前に

システム上で Kubernetes クラスターが実行されている必要があります。 詳しくは、 Creating a single control-plane cluster with kubeadm (https://kubernetes.io/docs/setup/production-environment/tools/kubeadm/create-cluster-kubeadm/) に関する Kubernetes 資料を参照してください。

Kubernetes 監査ポリシー・ファイルのコピーを作成します。 詳細については、 Kubernetes資料 (https://kubernetes.io/docs/tasks/debug-application-cluster/audit/#audit-policy)の監査ポリシーを参照してください。

コンテナーまたは Kubernetes コンテンツ拡張を使用している場合は、 QRadar 監査ポリシー・ファイルが必要です。 コンテナー・コンテンツ拡張について詳しくは、 コンテナー (https://www.ibm.com/docs/en/qradar-common?topic=extensions-container) を参照してください。 Kubernetes コンテンツ拡張について詳しくは、 Kubernetes (https://www.ibm.com/docs/en/qradar-common?topic=extensions-kubernetes) を参照してください。

rsyslog がシステムにインストールされ、実行されていることを確認してください。 詳しくは、 rsyslog の資料 (https://www.rsyslog.com) を参照してください。

このタスクについて

手順

  1. SSH を使用して Kubernetes 監査コンソールにログインします。
  2. /etc/Kubernetes/maifests/kube-apiserver.yaml ファイルで、 audit-policy-file パラメーターと audit-log-path パラメーターを定義します。

apiVersion: v1kind: Podmetadata:  creationTimestamp: null  labels:    component: kube-apiserver    tier: control-plane  name: kube-apiserver  namespace: kube-systemspec:  containers:  - command:    - kube-apiserver    ...       - --audit-policy-file=/etc/kubernetes/audit-policy.yaml    - --audit-log-path=/var/log/apiserver/audit.log    ...

  1. audit.log ファイルに記録されているイベントを QRadarに転送するように rsyslog /etc/rsyslog.conf ファイルを構成します。
    #### MODULES ####…$ModLoad imfile# ### begin forwarding rule ###$InputFileName /var/log/apiserver/audit.log$InputFileSeverity notice$InputFileFacility local0$InputRunFileMonitorlocal0.* @@QRADAR_EVENT_COLLECTOR_IP:514
    
  2. コマンド service rsyslog restartを入力して、rsyslog を再始動します。