1. Introduction
Bonjour à tous, nous allons voir dans cet article comment collecter dans QRadar des éléments qui sont envoyés par des applications externes via le protocole HTTP. En effet, beaucoup d’applications proposent cette option et il est souvent intéressant d’un point de vue sécurité et supervision de collecter ces informations.
Dans cet article nous allons utiliser l’application BookStack comme application web, vous pouvez utiliser ce que vous souhaitez, même créer une application de zéro 😅
2. HowTo
Dans un premier temps, il faut faire la configuration côté QRadar :
On choisit un DSM universel qui va nous permettre de faire nos tests.
On choisit le protocole “HTTP Receiver” qui permet d’écouter les requêtes “POST” de notre application vers notre instance QRadar.
On configure le nommage de la log source ainsi que d’autres paramètres de réception comme le collecteur de destination.
Ensuite il faut configurer le protocole :
- Log Source Identifier : Cela va définir un “identifiant” pour la log source, contrairement à d’autres log sources qui communiquent en syslog, il n’y a pas besoin que cet identifiant corresponde à l’IP ou le hostname. On peut donc mettre “MonApplication@API“
- Communication Type : HTTPs ou HTTP, il faut bien que le type corresponde à la configuration d’envoi que l’on va faire dans l’application par la suite. En effet, s’il y a une différence alors QRadar ne pourra réceptionner les logs.
- TLS Version : Il faut configurer ce paramètre quand le type choisi juste avant est HTTPs
- Listen Port : Le port de réception des logs, il faut bien faire attention à ce que ce port ne soit pas déjà utilisé pour d’autres collectes. Pour s’en assurer il faut exécuter la commande
netstat -lapute | grep <PORT>sur votre QRadar et vous ne devez rien avoir en retour
Le reste des options peut être laissé par défaut mais vous pouvez également ajuster certains de ces paramètres pour limiter la taille des paquets par exemple, ou l’augmenter si vous rencontrez des paquets tronqués.
Pour que la log source se déploie et que le port soit en écoute, il faut exécuter un deploy depuis la GUI QRadar.
Configuration côté Application :
L’application que nous allons configurer ici est BookStack. Vous pouvez choisir l’application que vous souhaitez tant que celle-ci propose un envoi d’informations par protocole HTTP vers une destination choisie.
Lien de configuration : https://<FQDN>/settings/webhooks
Il faut être connecté avec un compte administrateur et ensuite cliquer sur “CREATE NEW WEBHOOK” et remplir les paramètres comme ci-suit :
Il faut bien penser à mettre “http” si l’on a choisi le protocole “HTTP” dans la configuration de la log source QRadar. De plus, il faut rajouter le port de réception des logs en spécifiant le nombre après les “:”.
Pour tester la bonne réception des logs, vous pouvez utiliser la GUI ou encore la commande suivante depuis les lignes de commande QRadar : tcpdump -i any 'dst port <PORT>' -X
3. Conclusion
Vous êtes maintenant en mesure de récupérer toutes le informations que peuvent envoyer vos applications web pour une meilleure supervision de ces dernières.
4. Bibliographie
- Documentation IBM sur le protocole HTTP Receiver : https://www.ibm.com/docs/en/dsm?topic=options-http-receiver-protocol-configuration
- Projet BookStack : https://www.bookstackapp.com/
Merci d’avoir suivi ce petit tuto, en espérant que cela vous ait été utile. N’hésitez pas à me communiquer vos ressentis, tips…etc via le formulaire ci-dessous.