Raccogli i log SURICATA_EVE
Questo documento descrive come visualizzare i log SURICATA_EVE in Google Security Operations.
Il seguente diagramma dell'architettura di deployment mostra come SURICATA_EVE e Logstash sono configurati per inviare i log a Google Security Operations.
- Suricata salva i dati in un file
eve.json
. - Logstash monitora il file
eve.json
e inoltra i nuovi log a un server syslog. Il server syslog può essere un forwarding sulla stessa VM o su una VM separata. - Il server syslog utilizza il forwarding di Google Security Operations per ascoltare i nuovi log su una porta specifica.
- L'utente che esegue l'inoltro di Google Security Operations inoltra i log a un'istanza di Google Security Operations.
Prima di iniziare
Assicurati di aver configurato il controllo dell'accesso per l'organizzazione e le risorse con Identity and Access Management (IAM). Per ulteriori informazioni sul controllo dell'accesso, vedi Controllo dell'accesso per le organizzazioni con IAM.
Assicurati che tutti i sistemi nell'architettura di deployment siano configurati nel fuso orario UTC.
Configurare Suricata e il software correlato
Configura il mirroring pacchetto.
Installa Suricata e verifica che gli avvisi vengano salvati nel file
eve.json
. Controlla dove si trova il fileeve.json
.Installa Logstash sul server Suricata.
Modifica il file di configurazione di Logstash (
/etc/logstash/conf.d/logstash.conf
):a. Aggiungi il seguente codice:
- Sostituisci
SYSLOG_SERVER
con la posizione del server syslog. - Assicurati che il numero di porta (in questo esempio,
10520
) corrisponda a quello nella configurazione dell'inoltro di Google Security Operations.
input { file { path => "/var/log/suricata/eve.json" start_position => "end" sincedb_path => "/dev/null" } } output { udp { host => "SYSLOG_SERVER" port => 10520 codec => line { format => "%{message}"} } }
b. Modifica l'indirizzo IP
output.udp.host
:Se il forwarding di Google Security Operations si trova su un sistema diverso dal server syslog, utilizza l'indirizzo IP del server syslog.
Se il forwarding di Google Security Operations si trova sullo stesso sistema del server syslog, utilizza un indirizzo IP interno.
- Sostituisci
Puoi utilizzare un'altra soluzione di inoltro dei log, come rsyslog, con una configurazione che rimuove l'intestazione syslog.
Importa i log SURICATA_EVE
Segui le istruzioni riportate in Importare i log di Google Cloud in Google Security Operations.
Se riscontri problemi durante l'importazione dei log di SURICATA_EVE, contatta l'assistenza Google Security Operations.
Per saperne di più su come Google Security Operations importa i dati, consulta la panoramica dell'importazione dati in Google Security Operations.