Se usó la API de Cloud Translation para traducir esta página.

Recopilar registros de SURICATA_EVE

En este documento, se describe cómo puedes ver los registros de SURICATA_EVE en Google Security Operations.

El siguiente diagrama de arquitectura de implementación muestra cómo SURICATA_EVE y Logstash están configurados para enviar registros a Google Security Operations.

Arquitectura de implementación

Suricata guarda los datos en un archivo eve.json.
Logstash supervisa el archivo eve.json y reenvía los registros nuevos a un servidor syslog. El servidor de syslog puede ser un reenviador en la misma VM o en una VM independiente.
El servidor syslog usa el servidor de reenvío de Google Security Operations para detectar nuevos registros en un puerto específico.
El reenviador de Google Security Operations reenvía los registros a una instancia de Google Security Operations.

Antes de comenzar

Asegúrate de haber configurado el control de acceso para tu organización y tus recursos con Identity and Access Management (IAM). Para obtener más información sobre el control de acceso, consulta Control de acceso para organizaciones con IAM.
Asegúrate de que todos los sistemas de la arquitectura de implementación estén configurados en la zona horaria UTC.

Configura Suricata y el software relacionado

Crea un balanceador de cargas de red interno.
Configura la duplicación de paquetes.
Instala Suricata. y confirme que las alertas se guarden en el archivo eve.json. Observa dónde se encuentra el archivo eve.json.
Instala Logstash en el servidor de Suricata.
Edita el archivo de configuración de Logstash (/etc/logstash/conf.d/logstash.conf):

a. Agrega el siguiente código:
- Cambia SYSLOG_SERVER por la ubicación de tu servidor syslog.
- Asegúrate de que el número de puerto (en este ejemplo, 10520) coincida con el número de puerto en la configuración del reenviador de Google Security Operations.
```
input {
  file {
      path => "/var/log/suricata/eve.json"
       start_position => "end"
       sincedb_path => "/dev/null"
   }
}
output {
   udp {
       host => "SYSLOG_SERVER"
       port => 10520
       codec => line { format => "%{message}"}
   }
}
```
b. Cambia la dirección IP output.udp.host:
- Si el reenviador de Operaciones de seguridad de Google se encuentra en un sistema diferente al servidor de syslog, usa la dirección IP del servidor de syslog.
- Si el servidor de reenvío de Google Security Operations se encuentra en el mismo sistema que el servidor syslog, use una dirección IP interna.

Puedes usar otra solución de reenvío de registros, como rsyslog, con una configuración que quite el encabezado de syslog.

Transfiere los registros de SURICATA_EVE

Sigue las instrucciones en Transfiere registros de Google Cloud a Google Security Operations.

Si tienes problemas para transferir los registros de SURICATA_EVE, comunícate con el equipo de asistencia de Google Security Operations.

Para obtener más información sobre cómo Google Security Operations transfiere datos, consulta la descripción general de la transferencia de datos a Google Security Operations.