IPtables は、トラフィックをルーティングするための Linux® カーネル・ファイアウォールのルールを作成するために使用される強力なツールです。
このタスクについて
IPtablesを構成するには、既存のルールを調べ、イベントをログに記録するようにルールを変更し、 IBM
QRadarで識別できるログ ID を IPtables ルールに割り当てる必要があります。 このプロセスは、 QRadarによってログに記録されるルールを決定するために使用されます。 QRadar には、イベント・ペイロード内の accept、drop、reject、または deny という単語を含む、ログに記録されたイベントが含まれます。
手順
- SSH を使用して、root ユーザーとして Linux サーバーにログインします。
- 以下のディレクトリーにある IPtables ファイルを編集します。
/etc/iptables.conf
注: IPtables ルールを含むファイルは、構成する Linux オペレーティング・システムによって異なる場合があります。 例えば Red Hat Enterprise を使用するシステムでは、このファイルは /etc/sysconfig/iptables ディレクトリーにあります。 IPtablesの構成について詳しくは、 Linux オペレーティング・システムの資料 を参照してください。
- ファイルを調べ、ログに記録する IPtables ルールを決定します。
例えば項目によって定義されるルールをログに記録するには、以下を使用します。
-A INPUT -i eth0 --dport 31337 -j DROP
- ログに記録する各ルールの直前に、対応するルールを挿入します。
-A INPUT -i eth0 --dport 31337 -j DROP
-A INPUT -i eth0 --dport 31337 -j DROP
- ログに記録するルールごとに、新しいルールのターゲットを LOG に変更します。次に例を示します。
-A INPUT -i eth0 --dport 31337 -j LOG
-A INPUT -i eth0 --dport 31337 -j DROP
- LOG ターゲットのログ・レベルを SYSLOG 優先レベル (info、notice など) に設定します。
-A INPUT -i eth0 --dport 31337 -j LOG --log-level info
-A INPUT -i eth0 --dport 31337 -j DROP
- ルールの動作を指定するログ接頭部を構成します。 ログ接頭部パラメーターを次のように設定します。
Q1Target=<rule>
ここで、<rule> は、 fw_accept、 fw_drop、 fw_reject、または fw_denyのいずれかの IPtable ファイアウォール・アクションです。
例えば、ファイアウォールによりログに記録されるルールのターゲットがドロップ・イベントである場合、ログ接頭部の設定は以下のようになります。
Q1Target=fw_drop
-A INPUT -i eth0 --dport 31337 -j LOG --log-level info --log-prefix "Q1Target=fw_drop " -A INPUT -i eth0 --dport 31337 -j DROP
注: 右引用符の前には末尾スペースが必要です。
- ファイルを保存して終了します。
- 以下のコマンドを使用して IPtables を再始動します。
/etc/init.d/iptables restart
- syslog.conf ファイルを開きます。
- 以下の行を追加します。
kern.<log level>@<IP
address>
各項目の意味は次のとおりです。
- <log level> は、以前に設定されたログ・レベルです。
- <IP address> は QRadarの IP アドレスです。
- ファイルを保存して終了します。
- 以下のコマンドを使用して Syslog デーモンを再始動します。
/etc/init.d/syslog restart
syslog デーモンの再始動後、イベントは QRadarに転送されます。 Linux サーバーから転送された IPtable イベントは自動的に検出され、 QRadarの 「ログ・アクティビティー」 タブに表示されます。