SURICATA_EVE ログを収集する

このドキュメントでは、Google Security Operations で SURICATA_EVE ログを表示する方法について説明します。

次のデプロイ アーキテクチャ図は、Google Security Operations にログを送信するように SURICATA_EVE と Logstash を構成する方法を示しています。

1. Suricata はデータを eve.json ファイルに保存します。
2. Logstash は eve.json ファイルを監視し、新しいログを Syslog サーバーに転送します。Syslog サーバーは、同じ VM または別の VM の転送元にできます。
3. Syslog サーバーは、Google Security Operations フォワーダーを使用して、特定のポート経由で新しいログをリッスンします。
4. Google Security Operations フォワーダーは、ログを Google Security Operations インスタンスに転送します。

始める前に

• Identity and Access Management（IAM）を使用して、組織とリソースのアクセス制御が設定されていることを確認します。アクセス制御の詳細については、IAM を使用した組織のアクセス制御をご覧ください。

• デプロイ アーキテクチャ内のすべてのシステムが、UTC タイムゾーンに構成されていることを確認します。

Suricata と関連ソフトウェアを構成する

1. 内部ネットワーク ロードバランサを作成する。

2. パケット ミラーリングを設定します。

3. Suricata をインストールし、アラートが eve.json ファイルに保存されていることを確認します。eve.json ファイルの場所を確認します。

4. Suricata サーバーに Logstash をインストールします。

5. Logstash 構成ファイル（/etc/logstash/conf.d/logstash.conf）を編集します。

   a. 以下のコードを追加:

   • SYSLOG_SERVER は、Syslog サーバーの場所に変更します。
   • ポート番号（この例では 10520）が Google Security Operations フォワーダーの構成のポート番号と一致していることを確認します。

   input {
     file {
         path => "/var/log/suricata/eve.json"
          start_position => "end"
          sincedb_path => "/dev/null"
      }
   }
   output {
      udp {
          host => "SYSLOG_SERVER"
          port => 10520
          codec => line { format => "%{message}"}
      }
   }

   b. output.udp.host の IP アドレスを変更します。

   • Google Security Operations 転送元が syslog サーバーとは異なるシステムにある場合は、syslog サーバーの IP アドレスを使用します。

   • Google Security Operations 転送元が syslog サーバーと同じシステムにある場合は、内部 IP アドレスを使用します。

rsyslog などの別のログ転送ソリューションを使用して、Syslog ヘッダーを削除する構成を使用できます。

SURICATA_EVE ログを取り込む

Google Cloud ログを Google Security Operations に取り込むの手順に従います。

SURICATA_EVE ログを取り込むときに問題が発生した場合は、Google Security Operations のサポートにお問い合わせください。

Google Security Operations がデータを取り込む方法の詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。