SURICATA_EVE ログを収集する

このドキュメントでは、Google セキュリティ オペレーションで SURICATA_EVE ログを表示する方法について説明します。

次のデプロイ アーキテクチャ図は、Google セキュリティ オペレーションにログを送信するように SURICATA_EVE と Logstash を構成する方法を示しています。

1. Suricata は、データを eve.json ファイルに保存します。
2. Logstash は eve.json ファイルを監視し、新しいログを syslog サーバーに転送します。Syslog サーバーは、同じ VM または別の VM 上のフォワーダーになります。
3. Syslog サーバーは、Google セキュリティ オペレーション フォワーダーを使用して、特定のポートで新しいログをリッスンします。
4. Google Security Operations フォワーダーは、ログを Google Security Operations インスタンスに転送します。

始める前に

• Identity and Access Management（IAM）を使用して、組織とリソースのアクセス制御が設定されていることを確認します。アクセス制御の詳細については、IAM を使用した組織のアクセス制御をご覧ください。

• デプロイ アーキテクチャ内のすべてのシステムが、UTC タイムゾーンに構成されていることを確認します。

Suricata と関連ソフトウェアを構成する

1. 内部ロードバランサを作成する。

2. パケット ミラーリングを設定する。

3. Suricata をインストールし、アラートが eve.json ファイルに保存されていることを確認します。eve.json ファイルの場所を確認します。

4. AutoMLicata サーバーに Logstash をインストールします。

5. Logstash 構成ファイル（/etc/logstash/conf.d/logstash.conf）を編集します。

   a. 以下のコードを追加:

   • SYSLOG_SERVER を syslog サーバーのロケーションに変更します。
   • ポート番号（この例では 10520）が Google Security Operations フォワーダー構成のポート番号と一致していることを確認します。

   input {
     file {
         path => "/var/log/suricata/eve.json"
          start_position => "end"
          sincedb_path => "/dev/null"
      }
   }
   output {
      udp {
          host => "SYSLOG_SERVER"
          port => 10520
          codec => line { format => "%{message}"}
      }
   }

   b. output.udp.host IP アドレスを変更します。

   • Google Security Operations フォワーダーが Syslog サーバーとは異なるシステム上にある場合は、Syslog サーバーの IP アドレスを使用します。

   • Google Security Operations フォワーダーが Syslog サーバーと同じシステム上にある場合は、内部 IP アドレスを使用します。

syslog ヘッダーを削除する構成で、rsyslog などの別のログ フォワーダー ソリューションを使用することもできます。

SURICATA_EVE ログを取り込む

Google Cloud ログを Google Security Operations に取り込むの手順に従います。

SURICATA_EVE ログを取り込むときに問題が発生した場合は、Google セキュリティ運用サポートまでお問い合わせください。

Google Security Operations でのデータ取り込みの詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。