Suricata Eve-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie SURICATA_EVE-Protokolle in Google Security Operations aufrufen.

Das folgende Diagramm der Bereitstellungsarchitektur zeigt, wie SURICATA_EVE und Logstash so konfiguriert sind, dass Protokolle an Google Security Operations gesendet werden.

Bereitstellungsarchitektur

  1. Suricata speichert Daten in einer eve.json-Datei.
  2. Logstash überwacht die Datei eve.json und leitet neue Protokolle an einen Syslog-Server weiter. Der syslog-Server kann ein Weiterleiter auf derselben VM oder auf einer separaten VM sein.
  3. Der syslog-Server verwendet den Google Security Operations-Weiterleiter, um über einen bestimmten Port auf neue Protokolle zu warten.
  4. Der Google Security Operations-Weiterleiter leitet die Protokolle an eine Google Security Operations-Instanz weiter.

Hinweise

  • Sie müssen die Zugriffssteuerung für Ihre Organisation und Ihre Ressourcen mithilfe von Identity and Access Management (IAM) eingerichtet haben. Weitere Informationen zur Zugriffssteuerung finden Sie unter Zugriffssteuerung für Organisationen mit IAM.

  • Alle Systeme in der Bereitstellungsarchitektur müssen in der Zeitzone UTC konfiguriert sein.

  1. Erstellen Sie einen internen Netzwerk-Load Balancer.

  2. Richten Sie die Paketspiegelung ein.

  3. Installieren Sie Suricata und prüfen Sie, ob Benachrichtigungen in der Datei eve.json gespeichert werden. Notieren Sie sich den Speicherort der Datei eve.json.

  4. Installieren Sie Logstash auf dem Suricata-Server.

  5. Bearbeiten Sie die Logstash-Konfigurationsdatei (/etc/logstash/conf.d/logstash.conf):

    a. Fügen Sie den folgenden Code hinzu:

    • Ersetzen Sie SYSLOG_SERVER durch den Speicherort Ihres syslog-Servers.
    • Achten Sie darauf, dass die Portnummer (in diesem Beispiel 10520) mit der Portnummer in der Weiterleitungskonfiguration von Google Security Operations übereinstimmt.
    input {
  file {
      path => "/var/log/suricata/eve.json"
       start_position => "end"
       sincedb_path => "/dev/null"
   }
}
output {
   udp {
       host => "SYSLOG_SERVER"
       port => 10520
       codec => line { format => "%{message}"}
   }
}

    b. Ändern Sie die IP-Adresse von output.udp.host:

    • Wenn sich der Google Security Operations-Weiterleiter auf einem anderen System als dem syslog-Server befindet, verwenden Sie die IP-Adresse des syslog-Servers.

    • Wenn sich der Google Security Operations-Weiterleiter auf demselben System wie der syslog-Server befindet, verwenden Sie eine interne IP-Adresse.

Sie können eine andere Lösung für die Logweiterleitung wie rsyslog mit einer Konfiguration verwenden, die den syslog-Header entfernt.

SURICATA_EVE-Protokolle aufnehmen

Folgen Sie der Anleitung unter Google Cloud-Logs in Google Security Operations aufnehmen.

Wenn beim Aufnehmen von SURICATA_EVE-Protokollen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.

Weitere Informationen zur Datenaufnahme in Google Security Operations finden Sie unter Datenaufnahme in Google Security Operations.