Collecter les journaux Cribl Stream

Compatible avec :

Ce document explique comment ingérer des journaux Cribl Stream dans Google Security Operations à l'aide de la destination Google SecOps intégrée. Cribl Stream produit des données opérationnelles sous forme de journaux, de métriques et d'événements. Cette intégration vous permet d'envoyer ces journaux à Google SecOps pour analyse et surveillance.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps.
  • Accès à la console de gestion ou au cluster Cribl Stream.
  • Identifiants du compte de service Google Cloud.

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion.

Configurer la destination Google SecOps dans Cribl Stream

  1. Connectez-vous à la console de gestion Cribl Stream.
  2. Accédez à Données > Destinations.
  3. Cliquez sur Ajouter une destination.
  4. Sélectionnez Google Cloud > Security Operations (SecOps).
  5. Fournissez les informations de configuration suivantes :
    • ID de sortie : saisissez un nom unique (par exemple, google-secops-destination).
    • Description : saisissez une description pour cette destination.
    • Envoyer les événements en tant que : sélectionnez Non structuré (recommandé pour l'analyse des journaux standards).
    • Version de l'API : sélectionnez V2.
    • Type de journal par défaut : sélectionnez CRIBL_STREAM dans la liste.
    • Facultatif : Espace de noms : saisissez un espace de noms pour identifier les journaux de cette source (par exemple, cribl-logs).
  6. Dans la section Authentification :
    • Authentication method (Méthode d'authentification) : compte de service (JSON).
    • Clé de compte de service : importez ou collez le contenu du fichier d'identifiants JSON.
  7. Dans la section Traitement :
    • Champ de texte du journal : vous pouvez saisir _raw (facultatif). Si elle n'est pas définie, Cribl enverra la représentation JSON de l'intégralité de l'événement. N'utilisez _raw que si vous stockez réellement du texte brut dans ce champ.
  8. Cliquez sur Enregistrer.

Créer une route pour envoyer les journaux Cribl Stream

  1. Accédez à Données > Routes.
  2. Cliquez sur Ajouter une route.
  3. Fournissez les informations de configuration suivantes :
    • Nom de la route : saisissez un nom explicite (par exemple, cribl-logs-to-secops).
    • Filtre : saisissez source.match(/cribl.*/) pour capturer les journaux internes de Cribl (journaux opérationnels de Cribl lui-même).
    • Sortie : sélectionnez la destination Google SecOps créée dans la section précédente.
    • Pipeline : sélectionnez passthru ou créez un pipeline personnalisé pour l'enrichissement des journaux.
  4. Cliquez sur Enregistrer.
  5. Validez et déployez la configuration pour appliquer les modifications.

Configurer le filtrage et l'enrichissement des journaux (facultatif)

Si vous devez filtrer ou enrichir les journaux Cribl Stream avant de les envoyer à Google SecOps :

  1. Accédez à Données > Pipelines dans Cribl Stream.
  2. Cliquez sur Ajouter un pipeline.
  3. Fournissez les informations de configuration suivantes :
    • ID du pipeline : saisissez un nom explicite (par exemple, cribl-log-processing).
    • Description : saisissez une description du pipeline.
  4. Ajoutez des fonctions si nécessaire :
    • Évaluation : ajoutez des champs de métadonnées ou modifiez ceux existants.
    • Extraction Regex : extrait des informations spécifiques des messages du journal.
    • Drop : supprimez les événements ou les champs inutiles.
    • Masquer : masquez les informations sensibles.
  5. Cliquez sur Enregistrer.
  6. Mettez à jour votre route pour utiliser ce pipeline au lieu de passthru.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.