Raccogliere i log di Zeek (Bro)

Questo documento descrive come eseguire il deployment di Zeek (in precedenza Bro) e NXLog con Google Security Operations per raccogliere i log Zeek in formato JSON. Questo documento spiega anche come i campi dei log Zeek vengono mappati ai campi Unified Data Model (UDM) di Google Security Operations.

Per una panoramica sull'importazione dati in Google Security Operations, consulta Importazione dei dati in Google Security Operations.

Un'etichetta di importazione identifica il parser che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione BRO_JSON.

Prima di iniziare

• Per comprendere i componenti di cui è stato eseguito il deployment per raccogliere i log Zeek, esamina l'architettura di deployment. Ogni implementazione del cliente potrebbe differire da questa rappresentazione e potrebbe essere più complessa. Il seguente diagramma mostra come configurare un agente NXLog e un forwarder Google Security Operations su un server Linux e inoltrare i dati di log a Google Security Operations.

  

• Verifica le versioni di Zeek supportate dal parser di Google Security Operations. Il parser di Google Security Operations supporta le seguenti versioni di Zeek:

  • Zeek 4.1.0
  • Zeek 4.0.1
  • Zeek 5.2.0
  • Zeek 6.0.0

• Prima di utilizzare il parser Zeek, esamina le modifiche ai mapping dei campi tra il parser precedente e l'attuale parser Zeek. Nell'ambito della migrazione, assicurati che le regole, le ricerche, i dashboard o altri processi che dipendono dai campi originali utilizzino i campi aggiornati.

  Ad esempio, nella versione precedente del parser, il campo server_name è mappato al campo target.hostname UDM. Nell'attuale parser Zeek, il campo server_name è mappato al campo UDM network.tls.client.server_name. Se esegui la migrazione al parser Zeek attuale e utilizzi il campo server_name nelle regole, devi modificare le regole in modo che utilizzino il campo UDM network.tls.client.server_name del parser attuale.

• Verifica i tipi di log Zeek supportati dal parser Google Security Operations. La tabella seguente elenca i tipi di log Zeek supportati dal parser Google Security Operations:

Tipo di log	Descrizione
Protocolli di rete	Include i file di log dei protocolli di rete, come DHCP (Dynamic Host Configuration Protocol) e DNS (Domain Name System).
File	Include i seguenti file di log: risultati dell'analisi dei file, OCSP (Online Certificate Status Protocol), Portable Executable (PE) e certificato X.509.
NetControl	Include i file di log delle azioni NetControl e i log di debug OpenFlow.
Rilevamento	Include file di log delle corrispondenze dei dati di intelligence, notifiche Zeek, flusso di allarmi, corrispondenze di firme e rilevamento di traceroute.
Osservazioni sulla rete	Include i file di log di certificati SSL, host che hanno completato handshake TCP, Modbus primario e replica, servizi in esecuzione sugli host e software utilizzato sulla rete.

• Se non l'hai ancora fatto, installa e configura Zeek. Per ulteriori informazioni, vedi Installazione di Zeek.

• Raccogli i log Zeek in formato JSON. Per ulteriori informazioni, consulta la pagina Output dei log Zeek in JSON.

• Assicurati che tutti i sistemi nell'architettura di deployment siano configurati con il fuso orario UTC.

Configurare NXLog e Google Security Operations Forwarder

1. Scarica e installa NXLog Community Edition sulla macchina Linux su cui viene eseguito il forwarder Google Security Operations.
   • Per ulteriori informazioni sul download di NXLog Community Edition, consulta la documentazione di NXLog.
   • Per ulteriori informazioni sull'installazione dei pacchetti e delle dipendenze NXLog richiesti, consulta Installazione di NXLog su un sistema Linux.
2. Crea un file di configurazione per ogni istanza di NXLog.

3. Utilizza il modulo NXLog im_file per leggere dal file e analizzare le righe in campi. Ecco un esempio di configurazione di NXLog:

   LogFile /var/log/nxlog/nxlog.log
   LogLevel INFO
   
   define ZEEK_OUTPUT_DESTINATION_ADDRESS <hostname>
   define ZEEK_OUTPUT_DESTINATION_PORT <port>
   
   <Input conn>
      Module      im_file
      File        '/opt/zeek/logs/current/conn.log'
      Exec $raw_event= "conn" + ' - ' + $raw_event;;
   </Input>
   
   <Input dce_rpc>
     Module      im_file
     File        '/opt/zeek/logs/current/dce_rpc.log'
     Exec $raw_event= "dce_rpc" + ' - ' + $raw_event;;
   </Input>
   
   <Output out_chronicle>
     Module  om_tcp
     Host    %ZEEK_OUTPUT_DESTINATION_ADDRESS%
     Port    %ZEEK_OUTPUT_DESTINATION_PORT%
   </Output>
   
   <Route zeek_to_chronicle>
     Path conn, dce_rpc => out_chronicle
   </Route>
   
   

   Per utilizzare la configurazione di esempio precedente, procedi nel seguente modo:

   • Sostituisci i valori <hostname> e <port> con le informazioni sul server Linux di destinazione.
   • Aggiungi elementi di input, output e percorso per ogni tipo di log Zeek che vuoi raccogliere.

4. Configura il forwarder di Google Security Operations per inviare i log a Google Security Operations. Per maggiori informazioni, vedi Installare e configurare il forwarder su Linux. Ecco un esempio di configurazione dell'agente di inoltro.

     output:
     url: URL
     identity:
     identity:
     collector_id: COLLECTOR_ID
     customer_id: CUSTOMER_ID
     secret_key: |
   
     {
     "type": "service_account",
     "project_id": "malachite-projectname",
     "private_key_id": `PRIVATE_KEY_ID`,
     "private_key": `PRIVATE_KEY`,
     "client_email":"`SERVICE_ACCOUNT_NAME`@malachite-`PROJECT_ID`.`SERVICE_ACCOUNT_DOMAIN`",
     "client_id": `CLIENT_ID`,
     "auth_uri": "https://accounts.google.com/o/oauth2/auth",
     "token_uri": "https://oauth2.googleapis.com/token",
     "auth_provider_x509_cert_url":"https://www.googleapis.com/oauth2/v1/certs",
     "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/`SERVICSERVICE_ACCOUNT_NAME`%40malachite-`PROJECT_ID`.`SERVICE_ACCOUNT_DOMAIN`",
     }
   
     collectors:
     - syslog:
         common:
           enabled: true
           data_type: BRO_JSON
           batch_n_seconds: 10
           batch_n_bytes: 1048576
         tcp_address: 0.0.0.0:10518
         connection_timeout_sec: 60
   

5. Sostituisci PRIVATE_KEY_ID, PRIVATE_KEY SERVICSERVICE_ACCOUNT_NAME,PROJECT_ID, CLIENT_ID, SERVICE_ACCOUNT_DOMAIN CUSTOMER_ID,URL, COLLECTOR_ID e CUSTOMER_ID con i rispettivi valori del file JSON del account di servizio, che puoi scaricare da Google Cloud Platform.

6. Avvia il servizio NXLog.

Inoltrare i log a Google SecOps utilizzando l'agente Bindplane

1. Installa e configura una macchina virtuale Linux.
2. Installa e configura l'agente Bindplane su Linux per inoltrare i log a Google SecOps. Per saperne di più su come installare e configurare l'agente Bindplane, consulta le istruzioni di installazione e configurazione dell'agente Bindplane.

Se riscontri problemi durante la creazione dei feed, contatta l'assistenza Google SecOps.

Formati di log Zeek (Bro) supportati

L'analizzatore sintattico Zeek (Bro) supporta i log in formato JSON e SYSLOG+JSON.

Log di esempio Zeek (Bro) supportati

• JOSN

  {
    "insertId": "1pvsdy2f8v21o8",
    "jsonPayload": {
      "message": "Jun 14 07:46:10 dummyhostname systemd[1]: Stopping System Logging Service..."
    },
    "resource": {
      "type": "gce_instance",
      "labels": {
        "project_id": "cl-tpt-dis-awkc-con17-p-922a",
        "zone": "us-central1-a",
        "instance_id": "4136884722753789246"
      }
    },
    "timestamp": "2024-09-03T19:31:32.353129233Z",
    "labels": {
      "compute.googleapis.com/resource_name": "dummyostname"
    },
    "logName": "projects/cl-tpt-dis-awkc-con17-p-922a/logs/syslog",
    "receiveTimestamp": "2024-09-03T19:31:33.388651657Z"
  }
  

• SYSLOG + JSON

  <13>1 2021-12-21T23: 51: 25-08: 00 ia-cs-vubro-089 bro_http - - - {
    "ts": 1640159484.694295,
    "uid": "CTgT3z1adxn1EMPbmj",
    "id.orig_h": "198.51.100.27",
    "id.orig_p": 58729,
    "id.resp_h": "198.51.100.28",
    "id.resp_p": 8088,
    "trans_depth": 2284,
    "method": "POST",
    "host": "198.51.100.8",
    "uri": "/system/gateway",
    "version": "1.1",
    "user_agent": "Java/11.0.11",
    "request_body_len": 304,
    "response_body_len": 203,
    "status_code": 200,
    "status_msg": "OK",
    "tags": [],
    "orig_fuids": [
      "FefIdu4i8dzFTUONb5"
    ],
    "orig_mime_types": [
      "application/xml"
    ],
    "resp_fuids": [
      "Flqz7L3yyQR1eSN4Kf"
    ],
    "resp_mime_types": [
      "application/xml"
    ]
  }
  

Riferimento mappatura campi: campi dei log Zeek ai campi UDM

Per capire in che modo il parser di Google Security Operations mappa i campi dei log Zeek ai campi evento UDM di Google Security Operations per ogni tipo di log Zeek, consulta le sezioni seguenti:

• Protocolli di rete
• File
• Netcontrol
• Rilevamento
• Osservazioni sulla rete

Protocolli di rete

La tabella seguente elenca i campi di log del tipo di log dei protocolli di rete e i relativi campi UDM.

File

La tabella seguente elenca i campi di log del tipo di log dei file e i relativi campi UDM corrispondenti.

Netcontrol

La tabella seguente elenca i campi di log del tipo di log netcontrol e i corrispondenti campi UDM.

Rilevamento

La tabella seguente elenca i campi di log del tipo di log di rilevamento e i relativi campi UDM corrispondenti.

Osservazioni sulla rete

La tabella seguente elenca i campi di log del tipo di log delle osservazioni di rete e i relativi campi UDM.

Riferimento per la mappatura dei campi: ID evento al tipo di evento UDM

Per capire come il parser mappa i nomi dei log ai tipi di eventi UDM, consulta le sezioni seguenti:

• Protocolli di rete
• File
• Netcontrol
• Rilevamento
• Osservazioni sulla rete

Protocolli di rete

La tabella seguente elenca i nomi dei log del tipo di log dei protocolli di rete e i relativi tipi di eventi UDM.

Nome log	Descrizione	Tipo di evento UDM
conn.log	TCP/UDP/ICMP connections	NETWORK_CONNECTION
dce_rpc.log	Distributed Computing Environment/RPC	NETWORK_CONNECTION
dhcp.log	DHCP leases	NETWORK_DHCP
dnp3.log	DNP3 (Distributed Network Protocol 3) requests and replies	NETWORK_CONNECTION
dns.log	DNS activity	NETWORK_DNS
ftp.log	FTP (File Transfer Protocol) activity	NETWORK_FTP
http.log	HTTP requests and replies	NETWORK_HTTP
irc.log	IRC (Internet Relay Chat) commands and responses	NETWORK_CONNECTION
kerberos.log	Kerberos	NETWORK_CONNECTION
modbus.log	Modbus commands and responses	NETWORK_CONNECTION
modbus_register_change.log	Tracks changes to Modbus holding registers	GENERIC_EVENT
mysql.log	MySQL	NETWORK_UNCATEGORIZED
ntlm.log	NT LAN Manager (NTLM)	NETWORK_CONNECTION
ntp.log	Network Time Protocol	NETWORK_CONNECTION
radius.log	RADIUS authentication attempts	USER_LOGIN
rdp.log	Remote Desktop Protocol (RDP)	NETWORK_CONNECTION
rfb.log	Remote Framebuffer (RFB)	NETWORK_CONNECTION
sip.log	Session Initiation Protocol (SIP)	NETWORK_UNCATEGORIZED
smb_cmd.log	SMB (Server Message Block) commands	NETWORK_CONNECTION
smb_files.log	SMB (Server Message Block) files	NETWORK_UNCATEGORIZED
smb_mapping.log	SMB (Server Message Block) trees	NETWORK_CONNECTION
smtp.log	SMTP (Simple Mail Transfer Protocol) transactions	NETWORK_SMTP
snmp.log	SNMP (Simple Network Management Protocol) messages	NETWORK_UNCATEGORIZED
socks.log	SOCKS proxy requests	NETWORK_CONNECTION
ssh.log	SSH (Secure Shell) connections	NETWORK_UNCATEGORIZED
ssl.log	SSL(Secure Sockets Layer)/TLS(Transport Layer Security) handshake info	NETWORK_HTTP NETWORK_CONNECTION
syslog.log	Syslog messages	NETWORK_CONNECTION
tunnel.log	Tunneling protocol events	NETWORK_CONNECTION

File

La tabella seguente elenca i nomi dei log del tipo di log dei file e i relativi tipi di eventi UDM.

Nome log	Descrizione	Tipo di evento UDM
files.log	File analysis results	NETWORK_UNCATEGORIZED
ocsp.log	If policy script is loaded, the Online Certificate Status Protocol (OCSP) log is created.	GENERIC_EVENT
pe.log	Portable Executable (PE)	GENERIC_EVENT
x509.log	X.509 certificate info	GENERIC_EVENT

Netcontrol

La tabella seguente elenca i nomi dei log del tipo di log netcontrol e i relativi tipi di eventi UDM.

Nome log	Descrizione	Tipo di evento UDM
netcontrol.log	NetControl actions	GENERIC_EVENT
netcontrol_drop.log	NetControl actions	STATUS_UPDATE
netcontrol_shunt.log	NetControl shunt actions	STATUS_UPDATE
netcontrol_catch_release.log	NetControl catch and release actions	GENERIC_EVENT
openflow.log	OpenFlow debug log	GENERIC_EVENT

Rilevamento

La tabella seguente elenca i nomi dei log del tipo di log di rilevamento e i relativi tipi di eventi UDM.

Nome log	Descrizione	Tipo di evento UDM
intel.log	Intelligence data matches	GENERIC_EVENT
notice.log	Zeek notices	NETWORK_CONNECTION
notice_alarm.log	The alarm stream	NETWORK_CONNECTION
signatures.log	Signature matches	GENERIC_EVENT
traceroute.log	Traceroute detection	NETWORK_UNCATEGORIZED

Osservazioni sulla rete

La tabella seguente elenca i nomi dei log del tipo di log delle osservazioni di rete e i relativi tipi di eventi UDM.

Nome log	Descrizione	Tipo di evento UDM
known_certs.log	SSL certificates	GENERIC_EVENT
known_hosts.log	Hosts that completed TCP handshakes	GENERIC_EVENT
known_modbus.log	Modbus master and secondary	GENERIC_EVENT
known_services.log	Services running on hosts	GENERIC_EVENT
software.log	Software used on the network	GENERIC_EVENT

Passaggi successivi

• Importazione dei dati in Google Security Operations

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.