Recopila registros de Eve de Suricata

Compatible con:

En este documento, se describe cómo puedes ver los registros de SURICATA_EVE en Google Security Operations.

En el siguiente diagrama de arquitectura de implementación, se muestra cómo se configuran SURICATA_EVE y Logstash para enviar registros a Google Security Operations.

Arquitectura de implementación

  1. Suricata guarda los datos en un archivo eve.json.
  2. Logstash supervisa el archivo eve.json y reenvía los registros nuevos a un servidor syslog. El servidor de syslog puede ser un reenviador en la misma VM o en una VM independiente.
  3. El servidor de syslog usa el reenviador de Google Security Operations para escuchar registros nuevos en un puerto específico.
  4. El reenviador de Google Security Operations reenvía los registros a una instancia de Google Security Operations.

Antes de comenzar

  • Asegúrate de haber configurado el control de acceso de tu organización y tus recursos con Identity and Access Management (IAM). Para obtener más información sobre el control de acceso, consulta Control de acceso para organizaciones con IAM.

  • Asegúrate de que todos los sistemas de la arquitectura de implementación estén configurados en la zona horaria UTC.

  1. Crea un balanceador de cargas de red interno.

  2. Configura la duplicación de paquetes.

  3. Instala Suricata y confirma que las alertas se guarden en el archivo eve.json. Ten en cuenta dónde se encuentra el archivo eve.json.

  4. Instala Logstash en el servidor Suricata.

  5. Edita el archivo de configuración de Logstash (/etc/logstash/conf.d/logstash.conf):

    a. Agrega el siguiente código:

    • Cambia SYSLOG_SERVER por la ubicación de tu servidor de syslog.
    • Asegúrate de que el número de puerto (en este ejemplo, 10520) coincida con el número de puerto en la configuración del reenviador de Google Security Operations.
    input {
  file {
      path => "/var/log/suricata/eve.json"
       start_position => "end"
       sincedb_path => "/dev/null"
   }
}
output {
   udp {
       host => "SYSLOG_SERVER"
       port => 10520
       codec => line { format => "%{message}"}
   }
}

    b. Cambia la dirección IP output.udp.host:

    • Si el reenviador de Operaciones de seguridad de Google se encuentra en un sistema diferente al servidor de syslog, usa la dirección IP del servidor de syslog.

    • Si el reenviador de Google Security Operations se encuentra en el mismo sistema que el servidor de syslog, usa una dirección IP interna.

Puedes usar otra solución de reenvío de registros, como rsyslog, con una configuración que quite el encabezado de syslog.

Transfiere los registros de SURICATA_EVE

Sigue las instrucciones que se indican en Cómo transferir Google Cloud registros a Google Security Operations.

Si tienes problemas para transferir los registros de SURICATA_EVE, comunícate con el equipo de asistencia de Google Security Operations.

Para obtener más información sobre cómo Google Security Operations transfiere datos, consulta la descripción general de la transferencia de datos a Google Security Operations.