IPtables 是一個功能強大的工具,用來在 Linux® 核心防火牆上建立遞送資料流量的規則。
關於此作業
若要配置 IPtables,您必須檢查現有規則,修改規則以記載事件,並將日誌 ID 指派給可由 IBM®
QRadar®識別的 IPtables 規則。 此處理程序用於判定 QRadar所記載的規則。 QRadar 包括任何記載的事件,其中包括事件有效負載中的單字 :accept、drop、reject 或 deny。
程序
- 使用 SSH ,以 root 使用者身分登入 Linux Server。
- 編輯下列目錄中的 IPtables 檔案:
/etc/iptables.conf
附註: 包含 IPtables 規則的檔案可能根據您正在配置的特定 Linux 作業系統而有所不同。 例如,使用 Red Hat Enterprise 的系統在 /etc/sysconfig/iptables 目錄中具有該檔案。 如需配置 IPtables的相關資訊,請參閱 Linux 作業系統文件 。
- 檢閱檔案以判定您要記載的 IPtables 規則。
例如,如果您要記載項目所定義的規則,請使用:
-A INPUT -i eth0 --dport 31337 -j DROP
- 緊接在您要記載的每一個規則之前插入相符規則:
-A INPUT -i eth0 --dport 31337 -j DROP
-A INPUT -i eth0 --dport 31337 -j DROP
- 針對您要記載的每一個規則,將新規則的目標更新為 LOG ,例如:
-A INPUT -i eth0 --dport 31337 -j LOG
-A INPUT -i eth0 --dport 31337 -j DROP
- 將 LOG 目標的記載層次設為 SYSLOG 優先順序層次,例如資訊或注意事項:
-A INPUT -i eth0 --dport 31337 -j LOG --log-level info
-A INPUT -i eth0 --dport 31337 -j DROP
- 配置日誌字首以識別規則行為。 將日誌字首參數設為:
Q1Target=<rule>
Where <規則> is one of the following IPtable firewall actions: fw_accept, fw_drop, fw_reject, or fw_deny.
例如,如果防火牆所記載的規則目標已捨棄事件,則日誌字首設定為:
Q1Target=fw_drop
-A INPUT -i eth0 --dport 31337 -j LOG --log-level info --log-prefix "Q1Target=fw_drop " -A INPUT -i eth0 --dport 31337 -j DROP
附註: 在右引號之前必須有尾端空格。
- 儲存並結束檔案。
- 使用下列指令重新啟動 IPtables :
/etc/init.d/iptables restart
- 開啟 syslog.conf 檔案。
- 新增下列行:
kern.<log level>@<IP
address>
其中:
- <記載層次> is the previously set log level.
- <IP 位址> is the IP address of QRadar.
- 儲存並結束檔案。
- 使用下列指令重新啟動 syslog 常駐程式:
/etc/init.d/syslog restart
在 syslog 常駐程式重新啟動之後,事件會轉遞至 QRadar。 從 Linux Server 轉遞的 IPtable 事件會自動探索並顯示在 QRadar的 日誌活動 標籤中。