Snort 로그 수집
이 문서에서는 Bindplane을 사용하여 Google Security Operations에 Snort 로그를 수집하는 방법을 설명합니다. 파서는 grok
패턴을 사용하여 관련 필드를 추출하여 두 가지 서로 다른 Snort 로그 형식 (SYSLOG + JSON)을 처리하려고 시도합니다. 식별된 형식에 따라 데이터를 추가로 처리하여 추출된 필드를 통합 데이터 모델 (UDM) 스키마에 매핑하고, 값을 정규화하고, 추가 컨텍스트로 출력을 보강합니다.
시작하기 전에
- Google Security Operations 인스턴스가 있는지 확인합니다.
- Windows 2016 이상 또는
systemd
가 설치된 Linux 호스트를 사용하고 있는지 확인합니다. - 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.
- Snort에 대한 권한 액세스 권한이 있는지 확인합니다.
Google SecOps 수집 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
- 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
Windows 설치
- 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.
다음 명령어를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 설치
- 루트 또는 sudo 권한으로 터미널을 엽니다.
다음 명령어를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
추가 설치 리소스
- 추가 설치 옵션은 이 설치 가이드를 참고하세요.
Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성
구성 파일에 액세스합니다.
config.yaml
파일을 찾습니다. 일반적으로 Linux에서는/etc/bindplane-agent/
디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.- 텍스트 편집기 (예:
nano
,vi
, 메모장)를 사용하여 파일을 엽니다.
다음과 같이
config.yaml
파일을 수정합니다.receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: SNORT_IDS raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
인프라에 필요한 대로 포트와 IP 주소를 바꿉니다.
<customer_id>
를 실제 고객 ID로 바꿉니다.Google SecOps 수집 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로
/path/to/ingestion-authentication-file.json
를 업데이트합니다.
Bindplane 에이전트를 다시 시작하여 변경사항 적용
Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.
sudo systemctl restart bindplane-agent
Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.
net stop BindPlaneAgent && net start BindPlaneAgent
Snort v2.x에서 syslog 내보내기 구성
- 터미널을 사용하여 Snort 기기에 로그인합니다.
/etc/snort/snort.conf
파일을 수정합니다.6) Configure output plugins
페이지로 이동합니다.다음 항목을 추가합니다.
# syslog output alert_syslog: host=BINDPLANE_IP_ADDRESS:PORT_NUMBER, LOG_AUTH LOG_ALERT
다음을 바꿉니다.
- BINDPLANE_IP_ADDRESS: Bindplane Agent IP address.
- PORT_NUMBER: Bindplane Agent port number.
파일을 저장합니다.
snort 서비스를 시작합니다.
rsyslog 서비스를 중지합니다.
/etc/rsyslogd.conf
파일을 수정합니다.# remote host is: name/ip:port *.* @@BINDPLANE_IP_ADDRESS:PORT_NUMBER
다음을 바꿉니다.
- BINDPLANE_IP_ADDRESS: Bindplane Agent IP address.
- PORT_NUMBER: Bindplane Agent port number.
rsyslog 서비스를 시작합니다.
Snort v3.1.53에서 syslog 내보내기 구성
- 터미널을 사용하여 Snort 기기에 로그인합니다.
- rsyslog 및 snort 서비스를 중지합니다.
- 다음 Snort 설치 디렉터리로 이동합니다.
/usr/local/etc/snort/
다음 Snort 구성 파일을 수정합니다.
snort.lua
출력 구성 옵션에서 다음 코드를 추가합니다 (시설 및 수준은 원하는 대로 사용 가능).
alert_syslog = { facility = 'local3', level = 'info', }
Snort 구성 파일을 저장합니다.
rsyslog 서비스 기본 구성 파일 디렉터리로 이동합니다.
/etc/rsyslog.d
3-snort.conf
이라는 새 파일을 만듭니다.# cd /etc/rsyslog.d # vi 3-snort.conf
TCP 또는 UDP를 통해 로그를 전송하려면 다음 구성을 추가하세요.
local3.* @@BINDPLANE_IP_ADDRESS:PORT_NUMBER
다음을 바꿉니다.
- BINDPLANE_IP_ADDRESS: Bindplane agent IP address.
- PORT_NUMBER: Bindplane agent port number.
파일을 저장합니다.
rsyslog를 시작한 다음 snort 서비스를 시작합니다.
UDM 매핑 테이블
로그 필드 | UDM 매핑 | 논리 |
---|---|---|
agent.hostname | observer.hostname | 원시 로그의 agent.hostname 필드에서 가져온 값입니다. |
agent.id | observer.asset_id | 원시 로그의 agent.id 필드에서 가져온 값으로, 다음과 같이 agent.type 와 연결됩니다. agent.type:agent.id |
agent.type | observer.application | 원시 로그의 agent.type 필드에서 가져온 값입니다. |
agent.version | observer.platform_version | 원시 로그의 agent.version 필드에서 가져온 값입니다. |
alert.category | security_result.category_details | 원시 로그의 alert.category 필드에서 가져온 값입니다. |
alert.rev | security_result.rule_version | 원시 로그의 alert.rev 필드에서 가져온 값입니다. |
alert.rule | security_result.summary | 원시 로그의 alert.rule 필드에서 가져온 값으로, 큰따옴표가 삭제됩니다. |
alert.severity | security_result.severity | alert.severity 이 4 이상이면 LOW 로 설정합니다. alert.severity 이 2 또는 3이면 MEDIUM 로 설정합니다. alert.severity 이 1이면 HIGH 로 설정합니다. 그렇지 않으면 UNKNOWN_SEVERITY 로 설정합니다. |
alert.signature | security_result.rule_name | 원시 로그의 alert.signature 필드에서 가져온 값입니다. |
alert.signature_id | security_result.rule_id | 원시 로그의 alert.signature_id 필드에서 가져온 값입니다. |
app_proto | network.application_protocol | app_proto 이 dns , smb 또는 http 인 경우 대문자로 변환하여 해당 값을 사용합니다. 그렇지 않으면 UNKNOWN_APPLICATION_PROTOCOL 로 설정합니다. |
카테고리 | security_result.category | category 이 trojan-activity 이면 NETWORK_MALICIOUS 로 설정합니다. category 이 policy-violation 이면 POLICY_VIOLATION 로 설정합니다. 그렇지 않으면 UNKNOWN_CATEGORY 로 설정합니다. |
classtype | security_result.rule_type | 비어 있지 않거나 unknown 인 경우 원시 로그의 classtype 필드에서 가져온 값입니다. |
community_id | network.community_id | 원시 로그의 community_id 필드에서 가져온 값입니다. |
date_log | time 필드가 비어 있는 경우 이벤트 타임스탬프를 설정하는 데 사용됩니다. |
|
내림차순 | metadata.description | 원시 로그의 desc 필드에서 가져온 값입니다. |
dest_ip | target.ip | 원시 로그의 dest_ip 필드에서 가져온 값입니다. |
dest_port | target.port | 원시 로그의 dest_port 필드에서 가져온 값으로, 정수로 변환됩니다. |
dstport | target.port | 원시 로그의 dstport 필드에서 가져온 값으로, 정수로 변환됩니다. |
file.filename | security_result.about.file.full_path | 비어 있지 않거나 / 인 경우 원시 로그의 file.filename 필드에서 가져온 값입니다. |
file.size | security_result.about.file.size | 원시 로그의 file.size 필드에서 가져온 값으로, 부호 없는 정수로 변환됩니다. |
host.name | principal.hostname | 원시 로그의 host.name 필드에서 가져온 값입니다. |
호스트 이름 | principal.hostname | 원시 로그의 hostname 필드에서 가져온 값입니다. |
inter_host | intermediary.hostname | 원시 로그의 inter_host 필드에서 가져온 값입니다. |
log.file.path | principal.process.file.full_path | 원시 로그의 log.file.path 필드에서 가져온 값입니다. |
metadata.version | metadata.product_version | 원시 로그의 metadata.version 필드에서 가져온 값입니다. |
proto | network.ip_protocol | 원시 로그의 proto 필드에서 가져온 값입니다. 숫자인 경우 조회 테이블을 사용하여 해당 IP 프로토콜 이름으로 변환됩니다. |
rule_name | security_result.rule_name | 원시 로그의 rule_name 필드에서 가져온 값입니다. |
signature_id | security_result.rule_id | 원시 로그의 signature_id 필드에서 가져온 값입니다. |
signature_rev | security_result.rule_version | 원시 로그의 signature_rev 필드에서 가져온 값입니다. |
src_ip | principal.ip | 원시 로그의 src_ip 필드에서 가져온 값입니다. |
src_port | principal.port | 원시 로그의 src_port 필드에서 가져온 값으로, 정수로 변환됩니다. |
srcport | principal.port | 원시 로그의 srcport 필드에서 가져온 값으로, 정수로 변환됩니다. |
시간 | 이벤트 타임스탬프를 설정하는 데 사용됩니다. | |
metadata.event_type | 항상 SCAN_NETWORK 로 설정합니다. |
|
metadata.log_type | SNORT_IDS 로 하드코딩되었습니다. |
|
metadata.product_name | SNORT_IDS 로 하드코딩되었습니다. |
|
metadata.vendor_name | SNORT 로 하드코딩되었습니다. |
|
security_result.action | alert.action 이 allowed 이면 ALLOW 로 설정하고, 그렇지 않으면 UNKNOWN_ACTION 로 설정합니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.