QRadar’a Tor IP’lerini Ekleme
Qradar içerisinde Tor erişimlerini görmek, alarmlar oluşturmak için Tor çıkış iplerini izlemek gerekir. Tor çıkış ipleri tor projesine ait web sitesinde güncel olarak yayınlanmaktadır. Bu ip’leri Qradar entegre etmek için referans kümesi kullanmak en kolay yöntem olacaktır.
Bu yazımızda küçük QRadar’da kullanılmak üzere Tor çıkış ip’lerini nasıl entegre edebileceğimizi göreceğiz.
İlk olarak QRadar yönetim sisteminden bir Referenceset oluşturulur. Küme değişken tipi olarak IP seçilir. Örneğin küme adına Tor Bulk Exit List adını verdim.
Tor çıkış iplerinin kendi sayfasında yayınlandığına değinmiştim. İşte bu ip listelerini çekip bir torlist.txt adının verdiğim bir dosyaya kaydettim.
Artık elimizde ip’ler bulunuyor. Şimdi Qradar’ın ReferenceSetUtil aracını kullanarak bu ip listesini oluşturduğumuz listeye import (load) edelim.
Evet artık IP listesi Qradar’a eklenmiştir. Artık bu ip listesini herhangi bir yerde Qradar içerisinde kullanabiliriz.
Bu noktaya kadar olan kısım da yöntemimizden bahsetmiştik. Aslında sadece TOR olarak düşünmeyin. Herhangi bir listeyi Referenset’e nasıl ekleyeceğimizi de komut satırı üzerinden görmüş olduk.
TOR çıkış ip listesi güncellebilen bir şey olduğundan yukarıdaki işlemler topluluğunu aşağıdaki gibi bir script (/root/torlist.sh) yazarak cron’da belirtip referans kümesini güncel tutabiliriz.
#!/bin/bash # Tor Bulk Exit List adindaki referans kumesinin icerigini temizler /opt/qradar/bin/ReferenceSetUtil.sh purge "Tor Bulk Exit List" # Guncel tor çıkış ip lerini torlist.txt'ye yazar curl -s https://check.torproject.org/exit-addresses | grep ExitAddress | cut -d " " -f2 > /root/torlist.txt # Dosya icerisindeki ipleri Tor Bulk Exit List adindaki referans kumeye import eder. /opt/qradar/bin/ReferenceSetUtil.sh load "Tor Bulk Exit List" /root/torlist.txt
Örneğin cron’a ip listesini her gün gece 1’de güncellemesi gerektiğini belirtmek için aşağıdaki gibi bir girdi yaparız.
# her gun gece 1 de tor cikis ip listesini gunceller 0 1 * * * /root/torlist.sh &> /dev/null