SURICATA_EVE-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie SURICATA_EVE-Protokolle in Google Security Operations aufrufen können.

Das folgende Diagramm der Bereitstellungsarchitektur zeigt, wie SURICATA_EVE und Logstash so konfiguriert werden, dass Protokolle an Google Security Operations gesendet werden.

Deployment-Architektur

  1. Suricata speichert Daten in einer eve.json-Datei.
  2. Logstash beobachtet die Datei eve.json und leitet neue Logs an einen Syslog-Server weiter. Der Syslog-Server kann ein Forwarder auf derselben VM oder auf einer separaten VM sein.
  3. Der Syslog-Server verwendet den Google Security Operations-Forwarder, um neue Logs über einen bestimmten Port zu überwachen.
  4. Der Google Security Operations-Forwarder leitet die Protokolle an eine Google Security Operations-Instanz weiter.

Hinweise

  • Prüfen Sie, ob Sie die Zugriffssteuerung für Ihre Organisation und Ressourcen mithilfe von Identity and Access Management (IAM) eingerichtet haben. Weitere Informationen zur Zugriffssteuerung finden Sie unter Zugriffssteuerung für Organisationen mit IAM.

  • Achten Sie darauf, dass alle Systeme in der Bereitstellungsarchitektur in der UTC-Zeitzone konfiguriert sind.

  1. Erstellen Sie einen internen Netzwerk-Load-Balancer.

  2. Richten Sie die Paketspiegelung ein.

  3. Installieren Sie Suricata und prüfen Sie, ob Benachrichtigungen in der Datei eve.json gespeichert werden. Achten Sie darauf, wo sich die Datei eve.json befindet.

  4. Installieren Sie Logstash auf dem Suricata-Server.

  5. Bearbeiten Sie die Logstash-Konfigurationsdatei (/etc/logstash/conf.d/logstash.conf):

    a. Fügen Sie den folgenden Code hinzu:

    • Ändern Sie SYSLOG_SERVER in den Standort Ihres Syslog-Servers.
    • Achten Sie darauf, dass die Portnummer (in diesem Beispiel 10520) mit der Portnummer in der Konfiguration des Google Security Operations-Forwarders übereinstimmt.
    input {
  file {
      path => "/var/log/suricata/eve.json"
       start_position => "end"
       sincedb_path => "/dev/null"
   }
}
output {
   udp {
       host => "SYSLOG_SERVER"
       port => 10520
       codec => line { format => "%{message}"}
   }
}

    b. Ändern Sie die output.udp.host-IP-Adresse:

    • Wenn sich der Forwarder von Google Security Operations auf einem anderen System als der Syslog-Server befindet, verwenden Sie die IP-Adresse des Syslog-Servers.

    • Wenn sich der Google Security Operations-Forwarder auf demselben System wie der Syslog-Server befindet, verwenden Sie eine interne IP-Adresse.

Sie können eine andere Logweiterleitungslösung wie rsyslog mit einer Konfiguration verwenden, bei der der Syslog-Header entfernt wird.

SURICATA_EVE-Logs aufnehmen

Folgen Sie der Anleitung unter Google Cloud-Logs in Google Security Operations aufnehmen.

Falls bei der Aufnahme von SURICATA_EVE-Protokollen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.

Weitere Informationen dazu, wie Google Security Operations Daten aufnimmt, finden Sie unter Datenaufnahme in Google Security Operations – Übersicht.