Recolha registos Eve do Suricata

Compatível com:

Este documento descreve como pode ver os registos SURICATA_EVE no Google Security Operations.

O diagrama de arquitetura de implementação seguinte mostra como o SURICATA_EVE e o Logstash estão configurados para enviar registos para o Google Security Operations.

Arquitetura de implementação

  1. O Suricata guarda os dados num ficheiro eve.json.
  2. O Logstash monitoriza o ficheiro eve.json e encaminha novos registos para um servidor syslog. O servidor syslog pode ser um encaminhador na mesma VM ou numa VM separada.
  3. O servidor syslog usa o encaminhador do Google Security Operations para ouvir novos registos através de uma porta específica.
  4. O encaminhador do Google Security Operations encaminha os registos para uma instância do Google Security Operations.

Antes de começar

  • Certifique-se de que configurou o controlo de acesso para a sua organização e recursos através da gestão de identidade e de acesso (IAM). Para mais informações sobre o controlo de acesso, consulte o artigo Controlo de acesso para organizações com a IAM.

  • Certifique-se de que todos os sistemas na arquitetura de implementação estão configurados no fuso horário UTC.

  1. Crie um balanceador de carga de rede interno.

  2. Configure o espelhamento de pacotes.

  3. Instale o Suricata e confirme que os alertas estão a ser guardados no ficheiro eve.json. Tome nota da localização do ficheiro eve.json.

  4. Instale o Logstash no servidor Suricata.

  5. Edite o ficheiro de configuração do Logstash (/etc/logstash/conf.d/logstash.conf):

    a. Adicione o seguinte código:

    • Altere SYSLOG_SERVER para a localização do seu servidor syslog.
    • Certifique-se de que o número da porta (neste exemplo, 10520) corresponde ao número da porta na configuração do encaminhador do Google Security Operations.
    input {
  file {
      path => "/var/log/suricata/eve.json"
       start_position => "end"
       sincedb_path => "/dev/null"
   }
}
output {
   udp {
       host => "SYSLOG_SERVER"
       port => 10520
       codec => line { format => "%{message}"}
   }
}

    b. Altere o output.udp.host endereço IP:

    • Se o encaminhador das Operações de segurança da Google estiver num sistema diferente do servidor syslog, use o endereço IP do servidor syslog.

    • Se o encaminhador do Google Security Operations estiver no mesmo sistema que o servidor syslog, use um endereço IP interno.

Pode usar outra solução de encaminhamento de registos, como o rsyslog, com uma configuração que remova o cabeçalho syslog.

Carregue os registos SURICATA_EVE

Siga as instruções em Carregue Google Cloud registos para o Google Security Operations.

Se tiver problemas ao carregar registos SURICATA_EVE, contacte o apoio técnico do Google Security Operations.

Para mais informações sobre como o Google Security Operations carrega dados, consulte o artigo Carregamento de dados para o Google Security Operations: vista geral.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.