SURICATA_EVE 로그 수집

이 문서에서는 Google Security Operations에서 SURICATA_EVE 로그를 보는 방법을 설명합니다.

다음 배포 아키텍처 다이어그램에서는 Google Security Operations에 로그를 전송하도록 SURICATA_EVE 및 Logstash를 구성하는 방법을 보여줍니다.

1. Suricata는 eve.json 파일에 데이터를 저장합니다.
2. Logstash는 eve.json 파일을 감시하고 새 로그를 syslog 서버로 전달합니다. syslog 서버는 동일한 VM 또는 별도의 VM의 전달자일 수 있습니다.
3. syslog 서버는 Google Security Operations 전달자를 사용하여 특정 포트를 통해 새 로그를 리슨합니다.
4. Google Security Operations 전달자는 로그를 Google Security Operations 인스턴스로 전달합니다.

시작하기 전에

• Identity and Access Management(IAM)를 사용하여 조직 및 리소스에 대한 액세스 제어를 설정했는지 확인합니다. 액세스 제어에 대한 자세한 내용은 IAM으로 조직의 액세스 제어를 참조하세요.

• 배포 아키텍처의 모든 시스템이 UTC 시간대로 구성되었는지 확인합니다.

Suricata 및 관련 소프트웨어 구성

1. 내부 네트워크 부하 분산기를 만듭니다.

2. 패킷 미러링을 설정합니다.

3. Suricata를 설치하고 알림이 eve.json 파일에 저장되는지 확인합니다. eve.json 파일이 있는 위치를 확인합니다.

4. Suricata 서버에 Logstash를 설치합니다.

5. Logstash 구성 파일(/etc/logstash/conf.d/logstash.conf)을 수정합니다.

   a. 다음 코드를 추가합니다.

   • SYSLOG_SERVER를 syslog 서버의 위치로 변경합니다.
   • 포트 번호(이 예시에서는 10520)가 Google Security Operations 전달자 구성의 포트 번호와 일치하는지 확인합니다.

   input {
     file {
         path => "/var/log/suricata/eve.json"
          start_position => "end"
          sincedb_path => "/dev/null"
      }
   }
   output {
      udp {
          host => "SYSLOG_SERVER"
          port => 10520
          codec => line { format => "%{message}"}
      }
   }

   b. output.udp.host IP 주소를 변경합니다.

   • Google Security Operations 전달자가 syslog 서버와 다른 시스템에 있는 경우 syslog 서버의 IP 주소를 사용합니다.

   • Google Security Operations 전달자가 syslog 서버와 동일한 시스템에 있으면 내부 IP 주소를 사용합니다.

syslog 헤더를 제거하는 구성이 있는 rsyslog와 같은 다른 로그 전달자 솔루션을 사용할 수 있습니다.

SURICATA_EVE 로그 수집

Google Security Operations에 Google Cloud 로그 수집의 안내를 따릅니다.

SURICATA_EVE 로그를 수집할 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.

Google Security Operations에서 데이터를 수집하는 방법에 대한 자세한 내용은 Google Security Operations에 대한 데이터 수집 개요를 참조하세요.