Zeek（Bro）ログを収集する

このドキュメントでは、Google Security Operations で Zeek（以前の Bro）と NXLog をデプロイして、JSON 形式で Zeek ログを収集する方法について説明します。また、このドキュメントでは、Zeek ログフィールドが Google Security Operations Unified Data Model（UDM）フィールドにどのようにマッピングするかについても説明します。

Google Security Operations へのデータ取り込みの概要については、Google Security Operations へのデータの取り込みをご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、BRO_JSON 取り込みラベルが付加されたパーサーに適用されます。

始める前に

• Zeek のログを収集するためにデプロイされたコンポーネントについて、デプロイ アーキテクチャを確認します。それぞれのお客様のデプロイはこの表現とは異なる可能性があり、より複雑になることがあります。次の図では、Linux サーバーで NXLog エージェントと Google Security Operations フォワーダーを構成し、ログデータを Google Security Operations に転送する方法を示します。

  

• Google Security Operations パーサーがサポートする Zeek のバージョンを確認します。 Google Security Operations パーサーは、次の Zeek バージョンをサポートしています。

  • Zeek 4.1.0
  • Zeek 4.0.1
  • Zeek 5.2.0
  • Zeek 6.0.0

• Zeek パーサーを使用する前に、以前のパーサーと現在の Zeek パーサーにおけるフィールド マッピングの変更を確認してください。移行の一環として、ルール、検索、ダッシュボード、元のフィールドに依存するその他のプロセスで、更新されたフィールドが使用されることを確認します。

  たとえば、以前のパーサー バージョンでは、server_name フィールドは target.hostname UDM フィールドにマッピングされます。現在の Zeek パーサーでは、server_name フィールドは network.tls.client.server_name UDM フィールドにマッピングされます。現在の Zeek パーサーに移行して、ルールで server_name フィールドを使用する場合は、現在のパーサーの network.tls.client.server_name UDM フィールドを使用するようにルールを変更する必要があります。

• Google Security Operations パーサーがサポートする Zeek ログタイプを確認します。次の表では、Google Security Operations パーサーがサポートする Zeek ログタイプを示します。

ログタイプ	説明
ネットワーク プロトコル	動的ホスト構成プロトコル（DHCP）やドメイン ネーム システム（DNS）などのネットワーク プロトコルのログファイルが含まれます。
ファイル	ログファイルには、ファイル分析の結果、オンライン証明書ステータス プロトコル（OCSP）、ポータブル実行可能ファイル（PE）、X.509 証明書が含まれます。
NetControl	NetControl アクションのログファイルと OpenFlow デバッグログが含まれます。
検出	インテリジェンス データ一致のログファイル、Zeek 通知、アラーム ストリーム、署名一致、traceroute 検出が含まれます。
ネットワークのモニタリング	SSL 証明書のログファイル、TCP handshake を完了したホスト、Modbus のプライマリとレプリカ、ホストで実行されているサービス、ネットワークで使用されるソフトウェアが含まれます。

• まだインストールしていない場合は、Zeek をインストールして構成します。詳細については、Zeek のインストールをご覧ください。

• Zeek ログを JSON 形式で収集します。詳細については、Zeek ログを JSON に出力するをご覧ください。

• デプロイ アーキテクチャ内のすべてのシステムが、UTC タイムゾーンで構成されていることを確認します。

NXLog と Google Security Operations フォワーダーを構成する

1. Google Security Operations フォワーダーが実行されている Linux マシンに、NXLog Community Edition をダウンロードしてインストールします。
   • NXLog Community Edition のダウンロードの詳細については、NXLog のドキュメントをご覧ください。
   • 必要な NXLog パッケージのインストールと依存関係の詳細については、Linux システムに NXLog をインストールするをご覧ください。
2. NXLog インスタンスごとに構成ファイルを作成します。

3. NXLog im_file モジュールを使用して、ファイルから読み取り、行をフィールドにパースします。NXLog の構成例を以下に示します。

   LogFile /var/log/nxlog/nxlog.log
   LogLevel INFO
   
   define ZEEK_OUTPUT_DESTINATION_ADDRESS <hostname>
   define ZEEK_OUTPUT_DESTINATION_PORT <port>
   
   <Input conn>
      Module      im_file
      File        '/opt/zeek/logs/current/conn.log'
      Exec $raw_event= "conn" + ' - ' + $raw_event;;
   </Input>
   
   <Input dce_rpc>
     Module      im_file
     File        '/opt/zeek/logs/current/dce_rpc.log'
     Exec $raw_event= "dce_rpc" + ' - ' + $raw_event;;
   </Input>
   
   <Output out_chronicle>
     Module  om_tcp
     Host    %ZEEK_OUTPUT_DESTINATION_ADDRESS%
     Port    %ZEEK_OUTPUT_DESTINATION_PORT%
   </Output>
   
   <Route zeek_to_chronicle>
     Path conn, dce_rpc => out_chronicle
   </Route>
   
   

   上の構成例を使用するには、以下の手順を実行します。

   • <hostname> と <port> の値は、転送先の Linux サーバーに関する情報に置き換えます。
   • 収集する Zeek ログタイプごとに、入力要素、出力要素、ルート要素を追加します。

4. Google Security Operations にログを送信するように Google Security Operations フォワーダーを構成します。詳細については、Linux でのフォワーダーのインストールと構成をご覧ください。フォワーダー構成の例を次に示します。

     output:
     url: URL
     identity:
     identity:
     collector_id: COLLECTOR_ID
     customer_id: CUSTOMER_ID
     secret_key: |
   
     {
     "type": "service_account",
     "project_id": "malachite-projectname",
     "private_key_id": `PRIVATE_KEY_ID`,
     "private_key": `PRIVATE_KEY`,
     "client_email":"`SERVICE_ACCOUNT_NAME`@malachite-`PROJECT_ID`.`SERVICE_ACCOUNT_DOMAIN`",
     "client_id": `CLIENT_ID`,
     "auth_uri": "https://accounts.google.com/o/oauth2/auth",
     "token_uri": "https://oauth2.googleapis.com/token",
     "auth_provider_x509_cert_url":"https://www.googleapis.com/oauth2/v1/certs",
     "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/`SERVICSERVICE_ACCOUNT_NAME`%40malachite-`PROJECT_ID`.`SERVICE_ACCOUNT_DOMAIN`",
     }
   
     collectors:
     - syslog:
         common:
           enabled: true
           data_type: BRO_JSON
           batch_n_seconds: 10
           batch_n_bytes: 1048576
         tcp_address: 0.0.0.0:10518
         connection_timeout_sec: 60
   

5. PRIVATE_KEY_ID、PRIVATE_KEY、SERVICSERVICE_ACCOUNT_NAME、PROJECT_ID、CLIENT_ID、SERVICE_ACCOUNT_DOMAIN、CUSTOMER_ID、URL、COLLECTOR_ID、CUSTOMER_ID は、 Google Cloud プラットフォームからダウンロードできるサービス アカウントの JSON ファイルのそれぞれの値に置き換えます。

6. NXLog サービスを起動します。

Bindplane エージェントを使用してログを Google SecOps に転送する

1. Linux 仮想マシンをインストールして設定します。
2. ログを Google SecOps に転送するように、Linux に Bindplane エージェントをインストールして構成します。Bindplane エージェントのインストールと構成の方法の詳細については、Bindplane エージェントのインストールと構成の手順をご覧ください。

フィードの作成時に問題が発生した場合は、Google SecOps サポートにお問い合わせください。

サポートされている Zeek（Bro）ログ形式

Zeek（Bro）パーサーは、JSON 形式と SYSLOG+JSON 形式のログをサポートしています。

サポートされている Zeek（Bro）のサンプルログ

• JOSN

  {
    "insertId": "1pvsdy2f8v21o8",
    "jsonPayload": {
      "message": "Jun 14 07:46:10 dummyhostname systemd[1]: Stopping System Logging Service..."
    },
    "resource": {
      "type": "gce_instance",
      "labels": {
        "project_id": "cl-tpt-dis-awkc-con17-p-922a",
        "zone": "us-central1-a",
        "instance_id": "4136884722753789246"
      }
    },
    "timestamp": "2024-09-03T19:31:32.353129233Z",
    "labels": {
      "compute.googleapis.com/resource_name": "dummyostname"
    },
    "logName": "projects/cl-tpt-dis-awkc-con17-p-922a/logs/syslog",
    "receiveTimestamp": "2024-09-03T19:31:33.388651657Z"
  }
  

• SYSLOG + JSON

  <13>1 2021-12-21T23: 51: 25-08: 00 ia-cs-vubro-089 bro_http - - - {
    "ts": 1640159484.694295,
    "uid": "CTgT3z1adxn1EMPbmj",
    "id.orig_h": "198.51.100.27",
    "id.orig_p": 58729,
    "id.resp_h": "198.51.100.28",
    "id.resp_p": 8088,
    "trans_depth": 2284,
    "method": "POST",
    "host": "198.51.100.8",
    "uri": "/system/gateway",
    "version": "1.1",
    "user_agent": "Java/11.0.11",
    "request_body_len": 304,
    "response_body_len": 203,
    "status_code": 200,
    "status_msg": "OK",
    "tags": [],
    "orig_fuids": [
      "FefIdu4i8dzFTUONb5"
    ],
    "orig_mime_types": [
      "application/xml"
    ],
    "resp_fuids": [
      "Flqz7L3yyQR1eSN4Kf"
    ],
    "resp_mime_types": [
      "application/xml"
    ]
  }
  

フィールド マッピング リファレンス: Zeek logs フィールドから UDM フィールドへ

Google Security Operations パーサーが Zeek ログフィールドを Zeek ログタイプごとに Google Security Operations UDM イベント フィールドにマッピングする方法については、次のセクションをご覧ください。

• ネットワーク プロトコル
• ファイル
• Netcontrol
• 検出
• ネットワークのモニタリング

ネットワーク プロトコル

次の表に、ネットワーク プロトコル ログタイプのログフィールドと、それぞれに対応する UDM フィールドを示します。

ファイル

次の表に、ファイル ログタイプのログフィールドと、それぞれに対応する UDM フィールドを示します。

Netcontrol

次の表に、Netcontrol ログタイプのログフィールドと、それぞれに対応する UDM フィールドを示します。

検出

次の表に、検出ログタイプのログフィールドと、それぞれに対応する UDM フィールドを示します。

ネットワークのモニタリング

次の表に、ネットワーク モニタリング ログタイプのログフィールドと、それぞれに対応する UDM フィールドを示します。

フィールド マッピング リファレンス: イベント ID から UDM イベントタイプへ

パーサーによるログ名の UDM イベントタイプへのマッピング方法については、次のセクションをご覧ください。

• ネットワーク プロトコル
• ファイル
• Netcontrol
• 検出
• ネットワークのモニタリング

ネットワーク プロトコル

次の表に、ネットワーク プロトコル ログタイプのログ名と、それぞれに対応する UDM イベントタイプを示します。

ログ名	説明	UDM イベントタイプ
conn.log	TCP/UDP/ICMP connections	NETWORK_CONNECTION
dce_rpc.log	Distributed Computing Environment/RPC	NETWORK_CONNECTION
dhcp.log	DHCP leases	NETWORK_DHCP
dnp3.log	DNP3 (Distributed Network Protocol 3) requests and replies	NETWORK_CONNECTION
dns.log	DNS activity	NETWORK_DNS
ftp.log	FTP (File Transfer Protocol) activity	NETWORK_FTP
http.log	HTTP requests and replies	NETWORK_HTTP
irc.log	IRC (Internet Relay Chat) commands and responses	NETWORK_CONNECTION
kerberos.log	Kerberos	NETWORK_CONNECTION
modbus.log	Modbus commands and responses	NETWORK_CONNECTION
modbus_register_change.log	Tracks changes to Modbus holding registers	GENERIC_EVENT
mysql.log	MySQL	NETWORK_UNCATEGORIZED
ntlm.log	NT LAN Manager (NTLM)	NETWORK_CONNECTION
ntp.log	Network Time Protocol	NETWORK_CONNECTION
radius.log	RADIUS authentication attempts	USER_LOGIN
rdp.log	Remote Desktop Protocol (RDP)	NETWORK_CONNECTION
rfb.log	Remote Framebuffer (RFB)	NETWORK_CONNECTION
sip.log	Session Initiation Protocol (SIP)	NETWORK_UNCATEGORIZED
smb_cmd.log	SMB (Server Message Block) commands	NETWORK_CONNECTION
smb_files.log	SMB (Server Message Block) files	NETWORK_UNCATEGORIZED
smb_mapping.log	SMB (Server Message Block) trees	NETWORK_CONNECTION
smtp.log	SMTP (Simple Mail Transfer Protocol) transactions	NETWORK_SMTP
snmp.log	SNMP (Simple Network Management Protocol) messages	NETWORK_UNCATEGORIZED
socks.log	SOCKS proxy requests	NETWORK_CONNECTION
ssh.log	SSH (Secure Shell) connections	NETWORK_UNCATEGORIZED
ssl.log	SSL(Secure Sockets Layer)/TLS(Transport Layer Security) handshake info	NETWORK_HTTP NETWORK_CONNECTION
syslog.log	Syslog messages	NETWORK_CONNECTION
tunnel.log	Tunneling protocol events	NETWORK_CONNECTION

ファイル

次の表に、ファイル ログタイプのログ名と、それぞれに対応する UDM イベントタイプを示します。

ログ名	説明	UDM イベントタイプ
files.log	File analysis results	NETWORK_UNCATEGORIZED
ocsp.log	If policy script is loaded, the Online Certificate Status Protocol (OCSP) log is created.	GENERIC_EVENT
pe.log	Portable Executable (PE)	GENERIC_EVENT
x509.log	X.509 certificate info	GENERIC_EVENT

Netcontrol

次の表に、Netcontrol ログタイプのログ名と、それぞれに対応する UDM イベントタイプを示します。

ログ名	説明	UDM イベントタイプ
netcontrol.log	NetControl actions	GENERIC_EVENT
netcontrol_drop.log	NetControl actions	STATUS_UPDATE
netcontrol_shunt.log	NetControl shunt actions	STATUS_UPDATE
netcontrol_catch_release.log	NetControl catch and release actions	GENERIC_EVENT
openflow.log	OpenFlow debug log	GENERIC_EVENT

検出

次の表に、検出ログタイプのログ名と、それぞれに対応する UDM イベントタイプを示します。

ログ名	説明	UDM イベントタイプ
intel.log	Intelligence data matches	GENERIC_EVENT
notice.log	Zeek notices	NETWORK_CONNECTION
notice_alarm.log	The alarm stream	NETWORK_CONNECTION
signatures.log	Signature matches	GENERIC_EVENT
traceroute.log	Traceroute detection	NETWORK_UNCATEGORIZED

ネットワークのモニタリング

次の表に、ネットワーク モニタリングのログタイプとそれらに対応する UDM イベントタイプのログ名を示します。

ログ名	説明	UDM イベントタイプ
known_certs.log	SSL certificates	GENERIC_EVENT
known_hosts.log	Hosts that completed TCP handshakes	GENERIC_EVENT
known_modbus.log	Modbus master and secondary	GENERIC_EVENT
known_services.log	Services running on hosts	GENERIC_EVENT
software.log	Software used on the network	GENERIC_EVENT

次のステップ

• Google Security Operations へのデータの取り込み

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。