Recopilar registros de SURICATA_EVE
En este documento, se describe cómo puedes ver los registros de SURICATA_EVE en Google Security Operations.
El siguiente diagrama de arquitectura de implementación muestra cómo SURICATA_EVE y Logstash están configurados para enviar registros a Google Security Operations.
- Suricata guarda los datos en un archivo
eve.json
. - Logstash supervisa el archivo
eve.json
y reenvía los registros nuevos a un servidor syslog. El servidor de syslog puede ser un reenviador en la misma VM o en una VM independiente. - El servidor syslog usa el servidor de reenvío de Google Security Operations para detectar nuevos registros en un puerto específico.
- El reenviador de Google Security Operations reenvía los registros a una instancia de Google Security Operations.
Antes de comenzar
Asegúrate de haber configurado el control de acceso para tu organización y tus recursos con Identity and Access Management (IAM). Para obtener más información sobre el control de acceso, consulta Control de acceso para organizaciones con IAM.
Asegúrate de que todos los sistemas de la arquitectura de implementación estén configurados en la zona horaria UTC.
Configura Suricata y el software relacionado
Crea un balanceador de cargas de red interno.
Configura la duplicación de paquetes.
Instala Suricata. y confirme que las alertas se guarden en el archivo
eve.json
. Observa dónde se encuentra el archivoeve.json
.Instala Logstash en el servidor de Suricata.
Edita el archivo de configuración de Logstash (
/etc/logstash/conf.d/logstash.conf
):a. Agrega el siguiente código:
- Cambia
SYSLOG_SERVER
por la ubicación de tu servidor syslog. - Asegúrate de que el número de puerto (en este ejemplo,
10520
) coincida con el número de puerto en la configuración del reenviador de Google Security Operations.
input { file { path => "/var/log/suricata/eve.json" start_position => "end" sincedb_path => "/dev/null" } } output { udp { host => "SYSLOG_SERVER" port => 10520 codec => line { format => "%{message}"} } }
b. Cambia la dirección IP
output.udp.host
:Si el reenviador de Operaciones de seguridad de Google se encuentra en un sistema diferente al servidor de syslog, usa la dirección IP del servidor de syslog.
Si el servidor de reenvío de Google Security Operations se encuentra en el mismo sistema que el servidor syslog, use una dirección IP interna.
- Cambia
Puedes usar otra solución de reenvío de registros, como rsyslog, con una configuración que quite el encabezado de syslog.
Transfiere los registros de SURICATA_EVE
Sigue las instrucciones en Transfiere registros de Google Cloud a Google Security Operations.
Si tienes problemas para transferir los registros de SURICATA_EVE, comunícate con el equipo de asistencia de Google Security Operations.
Para obtener más información sobre cómo Google Security Operations transfiere datos, consulta la descripción general de la transferencia de datos a Google Security Operations.