Recopila registros de Cribl Stream

Compatible con:

En este documento, se explica cómo transferir registros de Cribl Stream a Google Security Operations con el destino integrado de Google SecOps. Cribl Stream genera datos operativos en forma de registros, métricas y eventos. Esta integración te permite enviar estos registros a Google SecOps para su análisis y supervisión.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Es una instancia de Google SecOps.
  • Acceso a la consola de administración o al clúster de Cribl Stream
  • Son las credenciales de la cuenta de servicio de Google Cloud.

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recopilación.
  3. Descarga el archivo de autenticación de transferencia.

Configura el destino de Google SecOps en Cribl Stream

  1. Accede a la consola de administración de Cribl Stream.
  2. Ve a Datos > Destinos.
  3. Haz clic en Agregar destino.
  4. Selecciona Google Cloud > Security Operations (SecOps).
  5. Proporciona los siguientes detalles de configuración:
    • ID de salida: Ingresa un nombre único (por ejemplo, google-secops-destination).
    • Descripción: Ingresa una descripción para este destino.
    • Enviar eventos como: Selecciona Sin estructura (recomendado para el análisis de registros estándar).
    • Versión de API: Selecciona V2.
    • Tipo de registro predeterminado: Selecciona CRIBL_STREAM en la lista.
    • Opcional: Espacio de nombres: Ingresa un espacio de nombres para identificar los registros de esta fuente (por ejemplo, cribl-logs).
  6. En la sección Autenticación, haz lo siguiente:
    • Método de autenticación: Cuenta de servicio (JSON).
    • Clave de cuenta de servicio: Sube o pega el contenido del archivo de credenciales JSON.
  7. En la sección Procesamiento, haz lo siguiente:
    • Campo de texto de registro: De manera opcional, ingresa _raw. Si no se configura, Cribl enviará la representación JSON de todo el evento. Usa _raw solo si realmente almacenas texto sin procesar en este campo.
  8. Haz clic en Guardar.

Crea una ruta para enviar registros de Cribl Stream

  1. Ve a Datos > Rutas.
  2. Haz clic en Agregar ruta.
  3. Proporciona los siguientes detalles de configuración:
    • Nombre de la ruta: Ingresa un nombre significativo (por ejemplo, cribl-logs-to-secops).
    • Filtro: Ingresa source.match(/cribl.*/) para capturar los registros internos de Cribl (registros operativos del propio Cribl).
    • Salida: Selecciona el destino de Google SecOps que creaste en la sección anterior.
    • Canalización: Selecciona passthru o crea una canalización personalizada para el enriquecimiento de registros.
  4. Haz clic en Guardar.
  5. Confirma y, luego, implementa la configuración para aplicar los cambios.

Configura el filtrado y el enriquecimiento de registros (opcional)

Si necesitas filtrar o enriquecer los registros de Cribl Stream antes de enviarlos a Google SecOps, haz lo siguiente:

  1. Ve a Data > Pipelines en Cribl Stream.
  2. Haz clic en Agregar canalización.
  3. Proporciona los siguientes detalles de configuración:
    • ID de canalización: Ingresa un nombre significativo (por ejemplo, cribl-log-processing).
    • Descripción: Ingresa una descripción para la canalización.
  4. Agrega funciones según sea necesario:
    • Eval: Agrega campos de metadatos o modifica los existentes.
    • Regex Extract: Extrae información específica de los mensajes de registro.
    • Descartar: Quita los eventos o campos innecesarios.
    • Máscara: Oculta la información sensible.
  5. Haz clic en Guardar.
  6. Actualiza tu ruta para usar esta canalización en lugar de passthru.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.