Mengumpulkan log Suricata Eve

Dokumen ini menjelaskan cara melihat log SURICATA_EVE di Google Security Operations.

Diagram arsitektur deployment berikut menunjukkan cara SURICATA_EVE dan Logstash dikonfigurasi untuk mengirim log ke Google Security Operations.

1. Suricata menyimpan data ke file eve.json.
2. Logstash memantau file eve.json dan meneruskan log baru ke server syslog. Server syslog dapat berupa penerusan di VM yang sama atau di VM terpisah.
3. Server syslog menggunakan penerusan Google Security Operations untuk memproses log baru melalui port tertentu.
4. Pengirim Google Security Operations meneruskan log ke instance Google Security Operations.

Sebelum memulai

• Pastikan Anda telah menyiapkan kontrol akses untuk organisasi dan resource menggunakan Identity and Access Management (IAM). Untuk mengetahui informasi selengkapnya tentang kontrol akses, lihat Kontrol akses untuk organisasi dengan IAM.

• Pastikan semua sistem dalam arsitektur deployment dikonfigurasi dalam zona waktu UTC.

Mengonfigurasi Suricata dan software terkait

1. Buat load balancer jaringan internal.

2. Siapkan duplikasi paket.

3. Instal Suricata dan pastikan pemberitahuan disimpan ke file eve.json. Perhatikan lokasi file eve.json.

4. Instal Logstash di server Suricata.

5. Edit file konfigurasi Logstash (/etc/logstash/conf.d/logstash.conf):

   a. Tambahkan kode berikut:

   • Ubah SYSLOG_SERVER ke lokasi server syslog Anda.
   • Pastikan nomor port (dalam contoh ini, 10520) cocok dengan nomor port dalam konfigurasi penerusan Google Security Operations.

   input {
     file {
         path => "/var/log/suricata/eve.json"
          start_position => "end"
          sincedb_path => "/dev/null"
      }
   }
   output {
      udp {
          host => "SYSLOG_SERVER"
          port => 10520
          codec => line { format => "%{message}"}
      }
   }

   b. Ubah alamat IP output.udp.host:

   • Jika penerusan Google Security Operations berada di sistem yang berbeda dengan server syslog, gunakan alamat IP server syslog.

   • Jika penerusan Google Security Operations berada di sistem yang sama dengan server syslog, gunakan alamat IP internal.

Anda dapat menggunakan solusi penerusan log lain, seperti rsyslog, dengan konfigurasi yang menghapus header syslog.

Menyerap log SURICATA_EVE

Ikuti petunjuk di Menyerap log Google Cloud ke Google Security Operations.

Jika Anda mengalami masalah saat menyerap log SURICATA_EVE, hubungi dukungan Google Security Operations.

Untuk mengetahui informasi selengkapnya tentang cara Google Security Operations menyerap data, lihat Ringkasan penyerapan data ke Google Security Operations.