Raccogli i log SURICATA_EVE

Questo documento descrive come visualizzare i log SURICATA_EVE in Google Security Operations.

Il seguente diagramma dell'architettura di deployment mostra come SURICATA_EVE e Logstash sono configurati per inviare i log a Google Security Operations.

1. Suricata salva i dati in un file eve.json.
2. Logstash monitora il file eve.json e inoltra i nuovi log a un server syslog. Il server syslog può essere un forwarding sulla stessa VM o su una VM separata.
3. Il server syslog utilizza il forwarding di Google Security Operations per ascoltare i nuovi log su una porta specifica.
4. L'utente che esegue l'inoltro di Google Security Operations inoltra i log a un'istanza di Google Security Operations.

Prima di iniziare

• Assicurati di aver configurato il controllo dell'accesso per l'organizzazione e le risorse con Identity and Access Management (IAM). Per ulteriori informazioni sul controllo dell'accesso, vedi Controllo dell'accesso per le organizzazioni con IAM.

• Assicurati che tutti i sistemi nell'architettura di deployment siano configurati nel fuso orario UTC.

Configurare Suricata e il software correlato

1. Crea un bilanciatore del carico di rete interno.

2. Configura il mirroring pacchetto.

3. Installa Suricata e verifica che gli avvisi vengano salvati nel file eve.json. Controlla dove si trova il file eve.json.

4. Installa Logstash sul server Suricata.

5. Modifica il file di configurazione di Logstash (/etc/logstash/conf.d/logstash.conf):

   a. Aggiungi il seguente codice:

   • Sostituisci SYSLOG_SERVER con la posizione del server syslog.
   • Assicurati che il numero di porta (in questo esempio, 10520) corrisponda a quello nella configurazione dell'inoltro di Google Security Operations.

   input {
     file {
         path => "/var/log/suricata/eve.json"
          start_position => "end"
          sincedb_path => "/dev/null"
      }
   }
   output {
      udp {
          host => "SYSLOG_SERVER"
          port => 10520
          codec => line { format => "%{message}"}
      }
   }

   b. Modifica l'indirizzo IP output.udp.host:

   • Se il forwarding di Google Security Operations si trova su un sistema diverso dal server syslog, utilizza l'indirizzo IP del server syslog.

   • Se il forwarding di Google Security Operations si trova sullo stesso sistema del server syslog, utilizza un indirizzo IP interno.

Puoi utilizzare un'altra soluzione di inoltro dei log, come rsyslog, con una configurazione che rimuove l'intestazione syslog.

Importa i log SURICATA_EVE

Segui le istruzioni riportate in Importare i log di Google Cloud in Google Security Operations.

Se riscontri problemi durante l'importazione dei log di SURICATA_EVE, contatta l'assistenza Google Security Operations.

Per saperne di più su come Google Security Operations importa i dati, consulta la panoramica dell'importazione dati in Google Security Operations.