Konfigurieren von Suricata für die Kommunikation mit JSA

Um Ereignisse an JSA zu senden, müssen Sie eine Syslog-Integration konfigurieren.

Vorbereitungen

Sie müssen Zugriff auf das Suricata-Gerät haben und über die Berechtigungen zum Schreiben in Konfigurationsdateien und zum Neustarten von Diensten verfügen. Sie benötigen einen Benutzernamen und ein Kennwort, z. B. Windows- oder Linux-Anmeldeinformationen, für das System, auf dem Sie Suricata installiert haben.

Stellen Sie sicher, dass rsyslog auf dem System installiert ist, auf dem Sie Suricata installiert haben. Weitere Informationen finden Sie auf der rsyslog-Website.

Melden Sie sich beim Suricata-Gerät an.
Öffnen Sie die Suricata-Konfigurationsdatei suricata.yaml, die sich im Suricata-Installationsverzeichnis befindet. Aktualisieren Sie den eve-log Eintrag unter der Kopfzeile outputs.
Orientieren Sie sich an folgendem Beispiel:
Die <facility> Variable ist ein Syslog-Facility-Name zwischen local0 und local7, z. B local5. .
Öffnen Sie die rsyslog-Konfigurationsdatei mit dem Namen /etc/rsyslog.conf, und fügen Sie eine Weiterleitungsregel hinzu, um die Warnungen an JSA zu senden.

Orientieren Sie sich an folgendem Beispiel:
<facility>.* @@<QRadar IP/hostname>:514
Bei der <facility> Variablen handelt es sich um dieselbe Syslog-Funktion, die Sie im vorherigen Schritt konfiguriert haben. Dies <JSAIP/hostname> ist die IP oder der Hostname der JSA-Konsole oder des verwalteten Hosts, an den Sie Suricata-Warnungen weiterleiten möchten.
Starten Sie die Dienste Suricata und rsyslog neu.