Configurando syslog no Apple Mac OS X

Configurar syslog em sistemas que executam os sistemas operacionais Apple Mac OS X usando um script de fluxo de log para enviar os logs do sistema MAC para QRadar.

Procedimento

Para implementar a correção 7.3-QRADAR-QRSCRIPT-logStream-1.0 , faça download dos arquivos a seguir do IBM Fix Central. (https://www-945.ibm.com/support/fixcentral/swg/downloadFixes?parent=IBM%20Security&product=ibm/Other+software/IBM+Security+QRadar+SIEM&release=7.3.0&platform=Linux&function=fixId&fixids=7.3-QRADAR-QRSCRIPT-logStream-1.0&includeRequisites=1&includeSupersedes=0&downloadMethod=http)
- logStream.pl.tar.gz (2,88 KB)
- 7.3-QRADAR-QRSCRIPT-logStream.sha256 (41 bytes)
A partir do terminal, vá para a pasta que você escolheu para conter o arquivo logStream.pl que você extraiu.
Para tornar o arquivo logStream.pl um arquivo executável, digite o seguinte comando:
```
chmod +x logStream.pl
```
Crie um script shell executável com uma extensão .sh com a seguinte convenção de nomenclatura:

<FILE_NAME>.sh

Inclua o comando a seguir no arquivo que você criou:

#!/bin/sh /Users/<PathToPerlScript>/logStream.pl -<Parameters1> <Value1> -<Parameters2> <Value2>

O caminho é um caminho absoluto que geralmente começa com /Users/....

É possível usar os parâmetros a seguir para logStream.pl:

Tabela 1. logStream.pl parameters
Parâmetro	Descrição
-H	O parâmetro -H define o nome do host ou o IP para o qual enviar os logs.
-p	O parâmetro -p define a porta no host remoto, em que um receptor de syslog está atendendo. Se esse parâmetro não for especificado, por padrão, o script logStream.pl usará a porta TCP 514 para enviar eventos para QRadar.
-O	O parâmetro -O substitui o nome do host automático do comando `/bin/hostname` do S.O.
-s	O padrão do formato de cabeçalho de syslog é 5424 (registro de data e horaRFC5424 ), mas 3339 pode ser especificado em vez disso para gerar o registro de data e hora no formato RFC3339
-u	O parâmetro -u força o logStream a enviar eventos usando UDP.
-v	O parâmetro -v exibe as informações da versão para o logStream.
-x	O parâmetro -x é um filtro de exclusão no formato regex estendido de grep. Por exemplo: `parentalcontrolsd\|com.apple.Webkit.WebContent`

Exemplo:

#!/bin/sh /Users/……/logStream.pl -H 172.16.70.135

Salve suas mudanças.
No terminal, vá para a pasta que contém o arquivo shell que você criou.
Para tornar o arquivo perl um arquivo executável, digite o comando a seguir:
```
chmod +x <FILE_NAME>.sh
```
No terminal, crie um arquivo com uma extensão de arquivo .plist como no exemplo a seguir:

<fileName>.plist.
Inclua o comando XML a seguir no arquivo:
```
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
   <dict>
      <key>Label</key>
      <string>com.logSource.app</string>
      <key>Program</key>
      <string>/Users/…[Path_to_Shell_Script_Created_In_Step2]/[FILE_NAME].sh</string>
      <key>RunAtLoad</key>
      <true />
   </dict>
</plist>
```
O comando XML contém dados no par chave-valor. A tabela a seguir fornece os pares chave-valor:

Tabela 2. Pares chave-valor

Chave Valor

Label com.logSource.app

Program /Users/…[Path_To_Shell_ Script_Created_In Step2]…/[FILE_NAME].sh

RunAtLoad Sim

Observação:
O valor da chave Label deve ser exclusivo para cada arquivo .plist. Por exemplo, se você usar o valor Label com.logSource.app para um arquivo .plist, não será possível usar o mesmo valor para outro arquivo .plist.

A chave de Programa mantém o caminho do shell script que você deseja executar. O caminho é um caminho absoluto que geralmente começa com /Users/....

A chave RunAtLoad mostra eventos quando você deseja executar seu programa shell automaticamente.
Salve suas mudanças.
Para tornar o arquivo .plist um arquivo executável, digite o seguinte comando:
```
chmod +x <FILE_NAME>.plist
```
Copie o arquivo para /Library/LaunchDaemons/ usando o seguinte comando:
```
sudo cp <Path_To_Your_plist_file> /Library/LaunchDaemons/
```
Reinicie o sistema Mac.
Efetue login no QRadare, em seguida, na guia Atividade de log , verifique se os eventos estão chegando do sistema Apple Mac. Se os eventos estiverem chegando como Sim Generic, uma origem de log deverá ser configurada manualmente para o sistema Apple Mac.
Exemplo: Considerar o seguinte evento:
```
<13>1 2020-06-25T16:06:55.198987-0300 AAAA-MacBook-Pro.local trustd[130]: [com.apple.securityd.policy] cert[2]: AnchorTrusted =(leaf)[force]> 0
```
Os valores do parâmetro de origem de log para esse evento são:
Tabela 3. Parâmetros de origem de log

Parâmetro Valor

Log Source Type Apple Mac OS X

Protocol Configuration Syslog

Log Source Identifier AAAA-MacBook-Pro.local

Chave	Valor
Label	com.logSource.app
Program	/Users/…[`Path_To_Shell_ Script_Created_In Step2`]…/`[FILE_NAME]`.sh
RunAtLoad	Sim

Parâmetro	Valor
Log Source Type	Apple Mac OS X
Protocol Configuration	Syslog
Log Source Identifier	`AAAA-MacBook-Pro`.local