Recoger registros de Cribl Stream

Disponible en:

En este documento se explica cómo ingerir registros de Cribl Stream en Google Security Operations mediante el destino integrado de Google SecOps. Cribl Stream genera datos operativos en forma de registros, métricas y eventos. Esta integración te permite enviar estos registros a Google SecOps para analizarlos y monitorizarlos.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Una instancia de Google SecOps.
  • Acceso a la consola de gestión o al clúster de Cribl Stream.
  • Credenciales de la cuenta de servicio de Google Cloud.

Obtener el archivo de autenticación de ingestión de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recogida.
  3. Descarga el archivo de autenticación de ingestión.

Configurar el destino de Google SecOps en Cribl Stream

  1. Inicia sesión en la consola de gestión de Cribl Stream.
  2. Ve a Datos > Destinos.
  3. Seleccione Añadir destino.
  4. Selecciona Google Cloud > Security Operations (SecOps).
  5. Proporcione los siguientes detalles de configuración:
    • ID de salida: introduzca un nombre único (por ejemplo, google-secops-destination).
    • Descripción: escriba una descripción de este destino.
    • Enviar eventos como: selecciona Sin estructura (opción recomendada para el análisis de registros estándar).
    • Versión de la API: seleccione V2.
    • Tipo de registro predeterminado: selecciona CRIBL_STREAM en la lista.
    • Opcional: Espacio de nombres: introduce un espacio de nombres para identificar los registros de esta fuente (por ejemplo, cribl-logs).
  6. En la sección Autenticación:
    • Método de autenticación: cuenta de servicio (JSON).
    • Clave de cuenta de servicio: sube o pega el contenido del archivo de credenciales JSON.
  7. En la sección Procesando:
    • Campo de texto de registro: introduce _raw (opcional). Si no se define, Cribl enviará la representación JSON de todo el evento. Usa _raw solo si almacenas texto sin formato en este campo.
  8. Haz clic en Guardar.

Crear una ruta para enviar registros de Cribl Stream

  1. Ve a Datos > Rutas.
  2. Haz clic en Añadir ruta.
  3. Proporcione los siguientes detalles de configuración:
    • Nombre de la ruta: introduce un nombre descriptivo (por ejemplo, cribl-logs-to-secops).
    • Filtro: introduce source.match(/cribl.*/) para registrar los registros internos de Cribl (registros operativos de Cribl).
    • Salida: selecciona el destino de Google SecOps creado en la sección anterior.
    • Proceso: selecciona passthru o crea un proceso personalizado para enriquecer los registros.
  4. Haz clic en Guardar.
  5. Confirma e implementa la configuración para aplicar los cambios.

Configurar el filtrado y el enriquecimiento de registros (opcional)

Si necesita filtrar o enriquecer los registros de Cribl Stream antes de enviarlos a Google SecOps, siga estos pasos:

  1. Vaya a Datos > Pipelines en Cribl Stream.
  2. Haz clic en Añadir canalización.
  3. Proporcione los siguientes detalles de configuración:
    • ID de la canalización: introduce un nombre descriptivo (por ejemplo, cribl-log-processing).
    • Descripción: escriba una descripción de la canalización.
  4. Añade funciones según sea necesario:
    • Eval: añade campos de metadatos o modifica los que ya hay.
    • Extracción de regex: extrae información específica de los mensajes de registro.
    • Eliminar: elimina los eventos o campos innecesarios.
    • Máscara: oculta información sensible.
  5. Haz clic en Guardar.
  6. Actualiza tu ruta para usar este canal en lugar de passthru.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.