Coletar registros SURICATA_EVE

Este documento descreve como visualizar os registros SURICATA_EVE no Google Security Operations.

O diagrama de arquitetura de implantação a seguir mostra como o SURICATA_EVE e o Logstash são configurados para enviar registros ao Google Security Operations.

Arquitetura de implantação

  1. O Suricata salva os dados em um arquivo eve.json.
  2. O Logstash observa o arquivo eve.json e encaminha os novos registros para um servidor syslog. O servidor syslog pode ser um encaminhador na mesma VM ou em uma VM separada.
  3. O servidor syslog usa o encaminhador do Google Security Operations para detectar novos registros em uma porta específica.
  4. O encaminhador do Google Security Operations encaminha os registros para uma instância do Google Security Operations.

Antes de começar

  • Verifique se você configurou o controle de acesso para sua organização e seus recursos usando o Identity and Access Management (IAM). Para mais informações sobre controle de acesso, consulte Controle de acesso para organizações com o IAM.

  • Verifique se todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC.

  1. Crie um balanceador de carga de rede interno.

  2. Configure o espelho de pacotes.

  3. Instale o Suricata. e confirme se os alertas estão sendo salvos no arquivo eve.json. Anote onde o arquivo eve.json está localizado.

  4. Instale o Logstash no servidor do Suricata.

  5. Edite o arquivo de configuração do Logstash (/etc/logstash/conf.d/logstash.conf):

    a. Adicione o seguinte código:

    • Mude SYSLOG_SERVER para o local do servidor syslog.
    • Verifique se o número da porta (neste exemplo, 10520) corresponde ao número da porta na configuração do encaminhador das Operações de segurança do Google.
    input {
  file {
      path => "/var/log/suricata/eve.json"
       start_position => "end"
       sincedb_path => "/dev/null"
   }
}
output {
   udp {
       host => "SYSLOG_SERVER"
       port => 10520
       codec => line { format => "%{message}"}
   }
}

    b. Mude o endereço IP output.udp.host:

    • Se o encaminhador do Google Security Operations estiver em um sistema diferente do servidor syslog, use o endereço IP do servidor syslog.

    • Se o encaminhador de operações de segurança do Google estiver no mesmo sistema que o servidor syslog, use um endereço IP interno.

Você pode usar outra solução de encaminhador de registros, como rsyslog, com uma configuração que remova o cabeçalho syslog.

Faça a ingestão dos registros SURICATA_EVE.

Siga as instruções em Ingerir os registros do Google Cloud nas Operações de segurança do Google.

Se você encontrar problemas ao processar os registros SURICATA_EVE, entre em contato com o suporte das Operações de segurança do Google.

Para mais informações sobre como o Google Security Operations processa dados, consulte Visão geral da ingestão de dados no Google Security Operations.