Collecter les journaux SURICATA_EVE

Ce document explique comment consulter les journaux SURICATA_EVE dans Google Security Operations.

Le schéma d'architecture de déploiement suivant montre comment SURICATA_EVE et Logstash sont configurés pour envoyer des journaux à Google Security Operations.

1. Suricata enregistre les données dans un fichier eve.json.
2. Logstash surveille le fichier eve.json et transfère les nouveaux journaux vers un serveur syslog. Le serveur syslog peut être un transfert sur la même VM ou sur une VM distincte.
3. Le serveur Syslog utilise le redirecteur Google Security Operations pour écouter les nouveaux journaux sur un port spécifique.
4. Le redirecteur Google Security Operations transfère les journaux vers une instance Google Security Operations.

Avant de commencer

• Assurez-vous d'avoir configuré le contrôle des accès pour votre organisation et vos ressources à l'aide d'Identity and Access Management (IAM). Pour en savoir plus sur le contrôle des accès, consultez la page Contrôle des accès pour les organisations avec IAM.

• Assurez-vous que tous les systèmes de l'architecture de déploiement sont configurés dans le fuseau horaire UTC.

Configurer Suricata et les logiciels associés

1. Créez un équilibreur de charge réseau interne.

2. Configurez la mise en miroir de paquets.

3. Installez Suricata et vérifiez que les alertes sont enregistrées dans le fichier eve.json. Notez l'emplacement du fichier eve.json.

4. Installez Logstash sur le serveur Suricata.

5. Modifiez le fichier de configuration Logstash (/etc/logstash/conf.d/logstash.conf) :

   a. Ajoutez le code suivant :

   • Remplacez SYSLOG_SERVER par l'emplacement de votre serveur Syslog.
   • Assurez-vous que le numéro de port (10520 dans cet exemple) correspond à celui de la configuration du forwarder Google Security Operations.

   input {
     file {
         path => "/var/log/suricata/eve.json"
          start_position => "end"
          sincedb_path => "/dev/null"
      }
   }
   output {
      udp {
          host => "SYSLOG_SERVER"
          port => 10520
          codec => line { format => "%{message}"}
      }
   }

   b. Modifiez l'adresse IP de output.udp.host :

   • Si le transpondeur Google Security Operations se trouve sur un système différent du serveur syslog, utilisez l'adresse IP du serveur syslog.

   • Si le redirecteur Google Security Operations se trouve sur le même système que le serveur syslog, utilisez une adresse IP interne.

Vous pouvez utiliser une autre solution de transfert de journaux, telle que rsyslog, avec une configuration qui supprime l'en-tête syslog.

Ingérer les journaux SURICATA_EVE

Suivez les instructions de la page Ingérer des journaux Google Cloud dans Google Security Operations.

Si vous rencontrez des problèmes lors de l'ingestion des journaux SURICATA_EVE, contactez l'assistance Google Security Operations.

Pour en savoir plus sur la manière dont Google Security Operations ingère les données, consultez Présentation de l'ingestion de données dans Google Security Operations.