Suricata Eve ログを収集する

以下でサポートされています。

このドキュメントでは、Google Security Operations で SURICATA_EVE ログを表示する方法について説明します。

次のデプロイ アーキテクチャ図は、Google Security Operations にログを送信するように SURICATA_EVE と Logstash を構成する方法を示しています。

デプロイ アーキテクチャ

  1. Suricata はデータを eve.json ファイルに保存します。
  2. Logstash は eve.json ファイルを監視し、新しいログを Syslog サーバーに転送します。Syslog サーバーは、同じ VM または別の VM のフォワーダーにできます。
  3. syslog サーバーは、Google Security Operations フォワーダーを使用して、特定のポートで新しいログをリッスンします。
  4. Google Security Operations フォワーダーは、ログを Google Security Operations インスタンスに転送します。

始める前に

  • Identity and Access Management(IAM)を使用して、組織とリソースのアクセス制御が設定されていることを確認します。アクセス制御の詳細については、IAM を使用した組織のアクセス制御をご覧ください。

  • デプロイ アーキテクチャ内のすべてのシステムが、UTC タイムゾーンに構成されていることを確認します。

  1. 内部ネットワーク ロードバランサを作成する。

  2. パケット ミラーリングを設定します。

  3. Suricata をインストールし、アラートが eve.json ファイルに保存されていることを確認します。eve.json ファイルの場所をメモします。

  4. Suricata サーバーに Logstash をインストールします。

  5. Logstash 構成ファイル(/etc/logstash/conf.d/logstash.conf)を編集します。

    a. 以下のコードを追加:

    • SYSLOG_SERVER は、Syslog サーバーの場所に変更します。
    • ポート番号(この例では 10520)が、Google Security Operations フォワーダーの構成のポート番号と一致していることを確認します。
    input {
      file {
          path => "/var/log/suricata/eve.json"
           start_position => "end"
           sincedb_path => "/dev/null"
       }
    }
    output {
       udp {
           host => "SYSLOG_SERVER"
           port => 10520
           codec => line { format => "%{message}"}
       }
    }

    b. output.udp.host の IP アドレスを変更します。

    • Google Security Operations 転送元が syslog サーバーとは異なるシステムにある場合は、syslog サーバーの IP アドレスを使用します。

    • Google Security Operations フォワーダーが syslog サーバーと同じシステムにある場合は、内部 IP アドレスを使用します。

rsyslog などの別のログ転送ソリューションを使用して、Syslog ヘッダーを削除する構成を使用できます。

SURICATA_EVE ログを取り込む

Google Security Operations に Google Cloud ログを取り込むの手順に沿って操作します。

SURICATA_EVE ログを取り込むときに問題が発生した場合は、Google Security Operations サポートにお問い合わせください。

Google Security Operations でのデータの取り込み方法の詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。