SURICATA_EVE-Protokolle erfassen

In diesem Dokument wird beschrieben, wie Sie SURICATA_EVE-Protokolle in Google Security Operations aufrufen können.

Das folgende Diagramm der Bereitstellungsarchitektur zeigt, wie SURICATA_EVE und Logstash so konfiguriert sind, dass Logs an Google Security Operations gesendet werden.

1. Suricata speichert Daten in einer eve.json-Datei.
2. Logstash beobachtet die Datei eve.json und leitet neue Logs an einen Syslog-Server weiter. Der Syslog-Server kann ein Forwarder auf derselben VM oder auf einer separaten VM sein.
3. Der syslog-Server verwendet den Google Security Operations-Weiterleiter, um über einen bestimmten Port auf neue Protokolle zu warten.
4. Der Google Security Operations-Weiterleiter leitet die Protokolle an eine Google Security Operations-Instanz weiter.

Hinweise

• Achten Sie darauf, dass Sie die Zugriffssteuerung für Ihre Organisation und Ressourcen eingerichtet haben mit Identity and Access Management (IAM). Weitere Informationen zur Zugriffssteuerung finden Sie unter Zugriffssteuerung für Organisationen mit IAM

• Alle Systeme in der Bereitstellungsarchitektur müssen in der Zeitzone UTC konfiguriert sein.

Suricata und zugehörige Software konfigurieren

1. Erstellen Sie einen internen Netzwerk-Load Balancer.

2. Richten Sie die Paketspiegelung ein.

3. Installieren Sie Suricata und prüfen Sie, ob Benachrichtigungen in der Datei eve.json gespeichert werden. Notieren Sie sich den Speicherort der Datei eve.json.

4. Installieren Sie Logstash auf dem Suricata-Server.

5. Bearbeiten Sie die Logstash-Konfigurationsdatei (/etc/logstash/conf.d/logstash.conf):

   a. Fügen Sie den folgenden Code hinzu:

   • Ändern Sie SYSLOG_SERVER in den Speicherort Ihres Syslog-Servers.
   • Achten Sie darauf, dass die Portnummer (in diesem Beispiel 10520) mit der Portnummer in der Weiterleitungskonfiguration von Google Security Operations übereinstimmt.

   input {
     file {
         path => "/var/log/suricata/eve.json"
          start_position => "end"
          sincedb_path => "/dev/null"
      }
   }
   output {
      udp {
          host => "SYSLOG_SERVER"
          port => 10520
          codec => line { format => "%{message}"}
      }
   }

   b. Ändern Sie die output.udp.host-IP-Adresse:

   • Wenn sich der Google Security Operations-Forwarder auf einem anderen System als der Syslog-Server befindet, verwenden Sie die IP-Adresse des Syslog-Servers.

   • Wenn sich der Google Security Operations-Weiterleiter auf demselben System wie der syslog-Server befindet, verwenden Sie eine interne IP-Adresse.

Sie können eine andere Protokollweiterleitungslösung wie rsyslog mit einer Konfiguration verwenden, bei der der Syslog-Header entfernt wird.

SURICATA_EVE-Logs aufnehmen

Folgen Sie der Anleitung unter Google Cloud-Logs in Google Security Operations aufnehmen.

Wenn bei der Aufnahme von SURICATA_EVE-Protokollen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.

Weitere Informationen dazu, wie Google Security Operations Daten aufnimmt, finden Sie unter Datenaufnahme in Google Security Operations.