Snort 로그 수집

다음에서 지원:

이 문서에서는 Bindplane을 사용하여 Google Security Operations에 Snort 로그를 수집하는 방법을 설명합니다. 파서는 grok 패턴을 사용하여 관련 필드를 추출하여 두 가지 서로 다른 Snort 로그 형식 (SYSLOG + JSON)을 처리하려고 시도합니다. 식별된 형식에 따라 데이터를 추가로 처리하여 추출된 필드를 통합 데이터 모델 (UDM) 스키마에 매핑하고, 값을 정규화하고, 추가 컨텍스트로 출력을 보강합니다.

시작하기 전에

  • Google Security Operations 인스턴스가 있는지 확인합니다.
  • Windows 2016 이상 또는 systemd가 설치된 Linux 호스트를 사용하고 있는지 확인합니다.
  • 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.
  • Snort에 대한 권한 액세스 권한이 있는지 확인합니다.

Google SecOps 수집 인증 파일 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 수집 에이전트로 이동합니다.
  3. 수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 프로필로 이동합니다.
  3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

Windows 설치

  1. 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.
  2. 다음 명령어를 실행합니다.

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Linux 설치

  1. 루트 또는 sudo 권한으로 터미널을 엽니다.
  2. 다음 명령어를 실행합니다.

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

추가 설치 리소스

Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

  1. 구성 파일에 액세스합니다.

    1. config.yaml 파일을 찾습니다. 일반적으로 Linux에서는 /etc/bindplane-agent/ 디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.
    2. 텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.
  2. 다음과 같이 config.yaml 파일을 수정합니다.

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: SNORT_IDS
                raw_log_field: body
    
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. 인프라에 필요한 대로 포트와 IP 주소를 바꿉니다.

  4. <customer_id>를 실제 고객 ID로 바꿉니다.

  5. Google SecOps 수집 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 /path/to/ingestion-authentication-file.json를 업데이트합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

  • Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.

    sudo systemctl restart bindplane-agent
    
  • Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.

    net stop BindPlaneAgent && net start BindPlaneAgent
    

Snort v2.x에서 syslog 내보내기 구성

  1. 터미널을 사용하여 Snort 기기에 로그인합니다.
  2. /etc/snort/snort.conf 파일을 수정합니다.
  3. 6) Configure output plugins 페이지로 이동합니다.
  4. 다음 항목을 추가합니다.

    # syslog
    output alert_syslog: host=BINDPLANE_IP_ADDRESS:PORT_NUMBER, LOG_AUTH LOG_ALERT
    
  5. 다음을 바꿉니다.

    • BINDPLANE_IP_ADDRESS: Bindplane Agent IP address.
    • PORT_NUMBER: Bindplane Agent port number.
  6. 파일을 저장합니다.

  7. snort 서비스를 시작합니다.

  8. rsyslog 서비스를 중지합니다.

  9. /etc/rsyslogd.conf 파일을 수정합니다.

    # remote host is: name/ip:port
    *.* @@BINDPLANE_IP_ADDRESS:PORT_NUMBER
    
  10. 다음을 바꿉니다.

    • BINDPLANE_IP_ADDRESS: Bindplane Agent IP address.
    • PORT_NUMBER: Bindplane Agent port number.
  11. rsyslog 서비스를 시작합니다.

Snort v3.1.53에서 syslog 내보내기 구성

  1. 터미널을 사용하여 Snort 기기에 로그인합니다.
  2. rsyslogsnort 서비스를 중지합니다.
  3. 다음 Snort 설치 디렉터리로 이동합니다. /usr/local/etc/snort/
  4. 다음 Snort 구성 파일을 수정합니다. snort.lua

  5. 출력 구성 옵션에서 다음 코드를 추가합니다 (시설 및 수준은 원하는 대로 사용 가능).

    alert_syslog =
      {
        facility = 'local3',
        level = 'info',
      }
    
  6. Snort 구성 파일을 저장합니다.

  7. rsyslog 서비스 기본 구성 파일 디렉터리로 이동합니다. /etc/rsyslog.d

  8. 3-snort.conf이라는 새 파일을 만듭니다.

    # cd /etc/rsyslog.d
    # vi 3-snort.conf
    
  9. TCP 또는 UDP를 통해 로그를 전송하려면 다음 구성을 추가하세요. local3.* @@BINDPLANE_IP_ADDRESS:PORT_NUMBER

  10. 다음을 바꿉니다.

    • BINDPLANE_IP_ADDRESS: Bindplane agent IP address.
    • PORT_NUMBER: Bindplane agent port number.
  11. 파일을 저장합니다.

  12. rsyslog를 시작한 다음 snort 서비스를 시작합니다.

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
agent.hostname observer.hostname 원시 로그의 agent.hostname 필드에서 가져온 값입니다.
agent.id observer.asset_id 원시 로그의 agent.id 필드에서 가져온 값으로, 다음과 같이 agent.type와 연결됩니다. agent.type:agent.id
agent.type observer.application 원시 로그의 agent.type 필드에서 가져온 값입니다.
agent.version observer.platform_version 원시 로그의 agent.version 필드에서 가져온 값입니다.
alert.category security_result.category_details 원시 로그의 alert.category 필드에서 가져온 값입니다.
alert.rev security_result.rule_version 원시 로그의 alert.rev 필드에서 가져온 값입니다.
alert.rule security_result.summary 원시 로그의 alert.rule 필드에서 가져온 값으로, 큰따옴표가 삭제됩니다.
alert.severity security_result.severity alert.severity이 4 이상이면 LOW로 설정합니다. alert.severity이 2 또는 3이면 MEDIUM로 설정합니다. alert.severity이 1이면 HIGH로 설정합니다. 그렇지 않으면 UNKNOWN_SEVERITY로 설정합니다.
alert.signature security_result.rule_name 원시 로그의 alert.signature 필드에서 가져온 값입니다.
alert.signature_id security_result.rule_id 원시 로그의 alert.signature_id 필드에서 가져온 값입니다.
app_proto network.application_protocol app_protodns, smb 또는 http인 경우 대문자로 변환하여 해당 값을 사용합니다. 그렇지 않으면 UNKNOWN_APPLICATION_PROTOCOL로 설정합니다.
카테고리 security_result.category categorytrojan-activity이면 NETWORK_MALICIOUS로 설정합니다. categorypolicy-violation이면 POLICY_VIOLATION로 설정합니다. 그렇지 않으면 UNKNOWN_CATEGORY로 설정합니다.
classtype security_result.rule_type 비어 있지 않거나 unknown인 경우 원시 로그의 classtype 필드에서 가져온 값입니다.
community_id network.community_id 원시 로그의 community_id 필드에서 가져온 값입니다.
date_log time 필드가 비어 있는 경우 이벤트 타임스탬프를 설정하는 데 사용됩니다.
내림차순 metadata.description 원시 로그의 desc 필드에서 가져온 값입니다.
dest_ip target.ip 원시 로그의 dest_ip 필드에서 가져온 값입니다.
dest_port target.port 원시 로그의 dest_port 필드에서 가져온 값으로, 정수로 변환됩니다.
dstport target.port 원시 로그의 dstport 필드에서 가져온 값으로, 정수로 변환됩니다.
file.filename security_result.about.file.full_path 비어 있지 않거나 /인 경우 원시 로그의 file.filename 필드에서 가져온 값입니다.
file.size security_result.about.file.size 원시 로그의 file.size 필드에서 가져온 값으로, 부호 없는 정수로 변환됩니다.
host.name principal.hostname 원시 로그의 host.name 필드에서 가져온 값입니다.
호스트 이름 principal.hostname 원시 로그의 hostname 필드에서 가져온 값입니다.
inter_host intermediary.hostname 원시 로그의 inter_host 필드에서 가져온 값입니다.
log.file.path principal.process.file.full_path 원시 로그의 log.file.path 필드에서 가져온 값입니다.
metadata.version metadata.product_version 원시 로그의 metadata.version 필드에서 가져온 값입니다.
proto network.ip_protocol 원시 로그의 proto 필드에서 가져온 값입니다. 숫자인 경우 조회 테이블을 사용하여 해당 IP 프로토콜 이름으로 변환됩니다.
rule_name security_result.rule_name 원시 로그의 rule_name 필드에서 가져온 값입니다.
signature_id security_result.rule_id 원시 로그의 signature_id 필드에서 가져온 값입니다.
signature_rev security_result.rule_version 원시 로그의 signature_rev 필드에서 가져온 값입니다.
src_ip principal.ip 원시 로그의 src_ip 필드에서 가져온 값입니다.
src_port principal.port 원시 로그의 src_port 필드에서 가져온 값으로, 정수로 변환됩니다.
srcport principal.port 원시 로그의 srcport 필드에서 가져온 값으로, 정수로 변환됩니다.
시간 이벤트 타임스탬프를 설정하는 데 사용됩니다.
metadata.event_type 항상 SCAN_NETWORK로 설정합니다.
metadata.log_type SNORT_IDS로 하드코딩되었습니다.
metadata.product_name SNORT_IDS로 하드코딩되었습니다.
metadata.vendor_name SNORT로 하드코딩되었습니다.
security_result.action alert.actionallowed이면 ALLOW로 설정하고, 그렇지 않으면 UNKNOWN_ACTION로 설정합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.