IBM QRadarの有効化

QRadar/Cloudflareの統合を構成するには、以下のいずれかの方法を使用するオプションがあります。

• HTTP Receiverプロトコル
• Amazon AWS S3 Rest API

HTTP Receiverプロトコル

CloudflareのログをQRadarに送信するには、APIを介してHTTPエンドポイントへのLogpushジョブを作成する必要があります。以下に、CloudflareのファイアウォールイベントとCloudflareのHTTPイベントをQRadarに送信する方法のcurlの例を2つ示します。

Cloudflareファイアウォールイベント

curl https://api.cloudflare.com/client/v4/zones/{zone_id}/logpush/jobs \
--header "X-Auth-Email: <EMAIL>" \
--header "X-Auth-Key: <API_KEY>" \
--header "Content-Type: application/json" \
--data '{
  "name": "<name>",
  "output_options": {
      "field_names": ["Action", "ClientIP", "ClientASN", "ClientASNDescription", "ClientCountry", "ClientIPClass","ClientRefererHost", "ClientRefererPath", "ClientRefererQuery", "ClientRefererScheme", "ClientRequestHost","ClientRequestMethod", "ClientRequestPath", "ClientRequestProtocol", "ClientRequestQuery", "ClientRequestScheme","ClientRequestUserAgent", "EdgeColoCode", "EdgeResponseStatus", "Kind", "MatchIndex", "Metadata","OriginResponseStatus", "OriginatorRayID", "RayID", "RuleID", "Source", "Datetime"],
      "timestamp_format": "rfc3339"
  },
  "destination_conf": "<QRadar_URL:LogSource_Port>",
  "max_upload_bytes": 5000000,
  "max_upload_records": 1000,
  "dataset": "firewall_events",
  "enabled": true
}'

Cloudflare HTTPイベント

curl https://api.cloudflare.com/client/v4/zones/{zone_id}/logpush/jobs \
--header "X-Auth-Email: <EMAIL>" \
--header "X-Auth-Key: <API_KEY>" \
--header "Content-Type: application/json" \
--data '{
  "name": "<name>",
  "output_options": {
      "field_names": ["ClientRequestMethod", "EdgeResponseStatus", "ClientIP", "ClientSrcPort", "CacheCacheStatus","ClientCountry", "ClientDeviceType", "ClientIPClass", "ClientMTLSAuthCertFingerprint", "ClientMTLSAuthStatus","ClientRegionCode", "ClientRequestBytes", "ClientRequestHost", "ClientRequestPath", "ClientRequestProtocol","ClientRequestReferer", "ClientRequestScheme", "ClientRequestSource", "ClientRequestURI", "ClientRequestUserAgent","ClientSSLCipher", "ClientSSLProtocol", "ClientXRequestedWith", "EdgeEndTimestamp", "EdgeRequestHost","EdgeResponseBodyBytes", "EdgeResponseBytes", "EdgeServerIP", "EdgeStartTimestamp", "SecurityActions","SecurityRuleIDs", "SecuritySources", "OriginIP", "OriginResponseStatus", "OriginSSLProtocol", "ParentRayID", "RayID", "SecurityAction", "WAFAttackScore", "SecurityRuleID", "SecurityRuleDescription", "WAFSQLiAttackScore","WAFXSSAttackScore", "EdgeStartTimestamp"],
      "timestamp_format": "rfc3339"
  },
  "destination_conf": "<QRadar_URL:LogSource_Port>", "max_upload_bytes": 5000000,
  "max_upload_records": 1000,
  "dataset": "http_requests",
  "enabled": true
}'

Cloudflareは、IPアドレス、ポートのアクセス可能性を確認し、HTTP受信ログソースの証明書を検証します。すべてのパラメータが有効であれば、Logpushが作成され、イベントがHTTP受信ログソースに送信され始めます。

Amazon AWS S3 Rest API

Amazon S3 REST APIプロトコルを使用する場合、IBM QRadarはAmazon S3バケットからCloudflareログイベントを収集します。このオプションを使用するには、以下の手順が必要です。

1. Cloudflareログを保存するためのAmazon S3バケット ↗を作成します。バケット名と、バケットに書き込むための十分な権限を持つAWSアクセスキーIDおよびシークレットアクセスキーをメモしておきます。
2. Amazon S3へのLogpushを有効にします。
3. AWS Management Consoleで、Amazon S3サービスに移動します。Cloudflareがログを直接S3バケットに送信できるように、バケットエンドポイントを作成します。
4. Amazon AWS S3 REST APIプロトコルを使用してCloudflareログをQRadarと統合する手順 ↗に従います。
5. Cloudflareでいくつかのログを生成して、S3バケットに配信され、その後QRadarに転送されることを確認して構成をテストします。