Coletar registros do Cribl Stream

Compatível com:

Este documento explica como ingerir registros do Cribl Stream no Google Security Operations usando o destino integrado do Google SecOps. O Cribl Stream produz dados operacionais na forma de registros, métricas e eventos. Com essa integração, é possível enviar esses registros ao Google SecOps para análise e monitoramento.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Uma instância do Google SecOps.
  • Acesso ao console de gerenciamento ou cluster do Cribl Stream.
  • Credenciais da conta de serviço do Google Cloud.

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Baixe o arquivo de autenticação de ingestão.

Configurar o destino do Google SecOps no Cribl Stream

  1. Faça login no Cribl Stream Management Console.
  2. Acesse Dados > Destinos.
  3. Clique em Adicionar destino.
  4. Selecione Google Cloud > Security Operations (SecOps).
  5. Informe os seguintes detalhes de configuração:
    • ID da saída: insira um nome exclusivo (por exemplo, google-secops-destination).
    • Descrição: insira uma descrição para esse destino.
    • Enviar eventos como: selecione Não estruturado (recomendado para análise de registros padrão).
    • Versão da API: selecione V2.
    • Tipo de registro padrão: selecione CRIBL_STREAM na lista.
    • Opcional: Namespace: insira um namespace para identificar os registros dessa origem (por exemplo, cribl-logs).
  6. Na seção Autenticação:
    • Método de autenticação: conta de serviço (JSON).
    • Chave da conta de serviço: faça upload ou cole o conteúdo do arquivo JSON de credenciais.
  7. Na seção Processamento:
    • Campo de texto do registro: opcionalmente, insira _raw. Se não for definido, o Cribl vai enviar a representação JSON do evento inteiro. Use _raw somente se você armazenar texto bruto nesse campo.
  8. Clique em Salvar.

Criar uma rota para enviar registros do Cribl Stream

  1. Acesse Dados > Rotas.
  2. Clique em Adicionar rota.
  3. Informe os seguintes detalhes de configuração:
    • Nome da rota: insira um nome significativo (por exemplo, cribl-logs-to-secops).
    • Filtro: insira source.match(/cribl.*/) para capturar registros internos do Cribl (registros operacionais do próprio Cribl).
    • Saída: selecione o destino do Google SecOps criado na seção anterior.
    • Pipeline: selecione passthru ou crie um pipeline personalizado para o enriquecimento de registros.
  4. Clique em Salvar.
  5. Confirme e implante a configuração para aplicar as mudanças.

Configurar filtragem e enriquecimento de registros (opcional)

Se você precisar filtrar ou enriquecer os registros do Cribl Stream antes de enviar para o Google SecOps:

  1. Acesse Dados > Pipelines no Cribl Stream.
  2. Clique em Adicionar pipeline.
  3. Informe os seguintes detalhes de configuração:
    • ID do pipeline: insira um nome significativo, por exemplo, cribl-log-processing.
    • Descrição: insira uma descrição para o pipeline.
  4. Adicione funções conforme necessário:
    • Avaliação: adicione ou modifique campos de metadados.
    • Extração de regex: extraia informações específicas de mensagens de registro.
    • Descartar: remova eventos ou campos desnecessários.
    • Mascarar: edita informações sensíveis.
  5. Clique em Salvar.
  6. Atualize sua rota para usar esse pipeline em vez de passthru.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.