![Series [CA]: Phần 2 Create SAN Certificate](https://phuongit.com/wp-content/uploads/2024/10/San-Cert.png)
Mở Đầu
Trong bài viết này, chúng ta sẽ tiếp tục hành trình khám phá chuỗi Series [SIEM], với Phần 04: Qradar Parser Customize DSM Log Source. Đây là một bước không thể thiếu trong việc tối ưu hóa khả năng thu thập và phân tích log từ nhiều nguồn khác nhau vì không phải lúc nào các định dạng log cũng được hỗ trợ mặc định trên QRadar. Thông qua quá trình tùy chỉnh này, QRadar sẽ có thể hiểu và xử lý dữ liệu bảo mật từ các thiết bị không được hỗ trợ mặc định, giúp mở rộng khả năng giám sát và quản lý sự kiện bảo mật.
Đây chính là lúc tính năng tùy chỉnh DSM (Device Support Module) trở thành công cụ mạnh mẽ, cho phép bạn điều chỉnh parser để QRadar có thể hiểu và xử lý log từ các thiết bị hoặc ứng dụng đặc thù. Bài viết sẽ được thực hiện trên môi trường Lab thực tế, giúp bạn nắm rõ các bước từ cấu hình parser, đảm bảo tích hợp thông tin một cách chính xác và hiệu quả vào hệ thống SIEM của mình.
Mô Hình Lab Qradar Parser
Cài đặt Qradar tham chiếu phần Series Phần 02 Cài Đặt IBM Qradar
Mô hình Qradar Parser Lab sẽ lấy một mẫu log security có định dang CEF để trong một thư share của máy chủ fileshare, sau đó Qradar sẽ gọi thư mục share và đọc log từ thư mục ấy. Đây là cách để có thể parser thử nghiệm. Trong thực tế có thể nhận các giao thức như syslog từ log source cần parser.
Một Số Regex Phổ Biến
| TT | Biểu thức chính quy | Mô tả |
| 1 | . | Khớp (match) với bất kỳ ký tự nào |
| 2 | ^regex | Biểu thức chính quy phải khớp tại điểm bắt đầu |
| 3 | regex$ | Biểu thức chính quy phải khớp ở cuối dòng. |
| 4 | [abc] | Thiết lập định nghĩa, có thể khớp với a hoặc b hoặc c. |
| 5 | [abc][vz] | Thiết lập định nghĩa, có thể khớp với a hoặc b hoặc c theo sau là v hay z. |
| 6 | [^abc] | Khi dấu ^ xuất hiện như là nhân vật đầu tiên trong dấu ngoặc vuông, nó phủ nhận mô hình. Điều này có thể khớp với bất kỳ ký tự nào ngoại trừ a hoặc b hoặc c. |
| 7 | [a-d1-7] | Phạm vi: phù hợp với một chuỗi giữa a và điểm d và con số từ 1 đến 7. |
| 8 | X|Z | Tìm X hoặc Z. |
| 9 | XZ | Tìm X và theo sau là Z. |
| 10 | $ | Kiểm tra kết thúc dòng. |
| 11 | \d | Số bất kỳ, viết ngắn gọn cho [0-9] |
| 12 | \D | Ký tự không phải là số, viết ngắn gon cho [^0-9] |
| 13 | \s | Ký tự khoảng trắng |
| 14 | \S | Ký tự không phải khoản trắng, viết ngắn gọn cho [^\s] |
| 15 | \w | Ký tự chữ, viết ngắn gọn cho [a-zA-Z_0-9] |
| 16 | \W | Ký tự không phải chữ, viết ngắn gọn cho [^\w] |
| 17 | \S+ | Một số ký tự không phải khoảng trắng (Một hoặc nhiều) |
| 18 | \b | Ký tự thuộc a-z hoặc A-Z hoặc 0-9 hoặc _, viết ngắn gọn cho [a-zA-Z0-9_]. |
| 19 | * | Xuất hiện 0 hoặc nhiều lần, viết ngắn gọn cho {0,} |
| 20 | + | Xuất hiện 1 hoặc nhiều lần, viết ngắn gọn cho {1,} |
| 21 | ? | Xuất hiện 0 hoặc 1 lần, ? viết ngắn gọn cho {0,1}. |
| 22 | {X} | Xuất hiện X lần, {} |
| 23 | {X,Y} | Xuất hiện trong khoảng X tới Y lần. |
| 24 | *? | * có nghĩa là xuất hiện 0 hoặc nhiều lần, thêm ? phía sau nghĩa là tìm kiếm khớp nhỏ nhất. |
| 25 | (…) | Nhóm các ký tự lại |
Thành Phần Qradar Parser
Thành Phần Properties
Thành phần properties bao gồm các thông tin cơ bản của một event như sourceip, destinationip, username, sourceport, destinationport v.v. Là thành phần được sử dụng để parser chuẩn hóa từ một event raw sang event normalized qua cấu trúc của Regular expression.
Các thông tin của một trường trong properties:
Expression type: loại của expression là regex
Expression: Cấu trúc cú pháp của regex
Sử dụng trang https://regexr.com/ để kiểm tra cú pháp của regex
Format String: Group cần lấy trong regex
Thành Phần Event Mappings
Event mappings sử dụng công cụ DSM Editor để thực hiện mapping event id tương ứng với event category. Một event mapping là sự sự kết hợp của event id, category và QID record. Event ID và category được parser bởi DSM Editor từ raw event, từ đó được look up để mapping tương ứng với event hay QID.
Cấu trúc của Event mapping:
High Level category: Liệt kê category ở mức high level
Low Level category: Liệt kê những category chi tiết từ mức high level
Log Source Type: Liệt kê các loại log source được hỗ trợ hoặc customize trong hệ thống
QID/Name: Là thông tin chi tiết cho một record được mapping chính xác từ Event ID và category.
Thực Hiện Parser Log Source
Tạo DSM Log Source
Tại DSM Editor tạo một log source mới
Chọn tạo Create New
Đặt tên cho Log Source Customize và Save
Cấu Hình Log Source
Chọn Admin -> Log Sources
Tạo một New Log Source
Chọn log source type lúc đầu tạo customize
Chọn loại protocol thử nghiệm, ở đây chọn SMB để có thể dễ dàng kiểm tra và check log trong quá trình parser, sau khi hoàn thành parser, có thể chuyển qua các protocol phù hợp với việc forward log thực tế.
Điền tên cho log source
Điền các thông tin về identifier, tài khoản chứng thực SMB, đường dẫn share SMB và đuôi file để Qradar có thể đọc được
Thực hiện test kết nối tới đường dẫn SMB
Thực Deploy Change để log source được apply
File log mẫu được đưa vào để Qradar parser
Log được Qradar đọc và hiển thị trên Log Activity nhưng chưa được parser
Sử dụng công cụ DSM Editor để parser
Qradar Parser Cho Thành Phần Properties
Thực hiện viết Regex để parser cho các thành phần như Destination IP
Thành phần Source IP
Thành phần Username
Các thành phần khác tương tự, riêng 2 thành phần quan trọng là Event ID và Event category là phải định nghĩa parser
Để xác định Event ID, cần chọn những trường thông tin có thể bao phủ một phần lớn các event raw cho loại log source đó (Điều này thường dựa vào kinh nghiệm đọc raw log). Từ những Event ID được xác định, thực hiện mapping tương ứng với QID record.
Event category: Loại event được hiện thị trong category
Qradar Parser Cho Thành Phần Event Mappings
Sau khi đã sử dụng regex parser các trường thông tin theo mong đợi, thực hiện mapping trong event mappings, lúc này các event id đã được gom nhóm và dựa vào kinh nghiệm mapping phù hợp với việc làm rule sau này cũng như hiển thị trên Log Activity.
Ví dụ trường event id heartbeat
Tìm QID là heartbeat trong High level category là System, vì trường này mang tính chất kiểm tra kết nối của ứng dụng, Ngoài ra đối với những event id nếu không tìm thấy phù hợp trong những QID sẵn có cung cấp bởi Qradar Parser, có thể tạo mới ở phần Create New ID Record
Sau khi tận dụng Heartbeat có sẵn, chọn Create
Thông tin mapping đã hiện thị trong phần Qradar Parser
Tương tự làm cho các Event ID khác dựa theo thông tin mapping QID có sẵn hoặc tạo mới. Kết quả sau khi mapping hoàn thành.
Sau khi hoàn thành, thử nghiệm tạo log mới và trên Log Acitivity của log source customize đã parser như mong đợi.
Video Cấu Hình
Kết Luận
Vậy là chúng ta đã hoàn thành Phần 04 Qradar Parser Customize DSM trong việc tùy chỉnh parser với công cụ DSM Editor trên QRadar, giúp hệ thống có thể xử lý và phân tích log từ những thiết bị hoặc ứng dụng đặc thù. Đây là một bước quan trọng trong việc tối ưu hóa khả năng giám sát và quản lý sự kiện bảo mật của hệ thống, đặc biệt trong các môi trường có nhiều thiết bị không được hỗ trợ mặc định.
Ở phần tiếp theo của chuỗi Series [SIEM], chúng ta sẽ tiếp tục khám phá các kỹ thuật nâng cao để tinh chỉnh cấu hình và cải thiện hiệu suất hiệu quả giám sát trên QRadar. Đừng quên theo dõi để không bỏ lỡ bất kỳ bài viết nào nhé!
Bài viết hay, hữu ích khi customize log