Recolha registos do Zeek (Bro)

Este documento descreve como pode implementar o Zeek (anteriormente Bro) e o NXLog com o Google Security Operations para recolher registos do Zeek no formato JSON. Este documento também explica como os campos de registo do Zeek são mapeados para os campos do modelo de dados unificado (UDM) do Google Security Operations.

Para uma vista geral acerca da ingestão de dados do Google Security Operations, consulte o artigo Ingestão de dados no Google Security Operations.

Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento BRO_JSON.

Antes de começar

• Para compreender os componentes implementados para recolher registos do Zeek, reveja a arquitetura de implementação. Cada implementação do cliente pode diferir desta representação e pode ser mais complexa. O diagrama seguinte mostra como pode configurar um agente NXLog e um encaminhador do Google Security Operations num servidor Linux e encaminhar dados de registo para o Google Security Operations.

  

• Verifique as versões do Zeek que o analisador do Google Security Operations suporta. O analisador do Google Security Operations suporta as seguintes versões do Zeek:

  • Zeek 4.1.0
  • Zeek 4.0.1
  • Zeek 5.2.0
  • Zeek 6.0.0

• Antes de usar o analisador Zeek, reveja as alterações nos mapeamentos de campos entre o analisador anterior e o analisador Zeek atual. Como parte da migração, certifique-se de que as regras, as pesquisas, os painéis de controlo ou outros processos que dependem dos campos originais usam os campos atualizados.

  Por exemplo, na versão anterior do analisador, o campo server_name está mapeado para o campo target.hostname do UDM. No analisador Zeek atual, o campo server_name é mapeado para o campo network.tls.client.server_name UDM. Se migrar para o analisador Zeek atual e usar o campo server_name nas suas regras, tem de modificar as regras para usar o campo network.tls.client.server_name UDM do analisador atual.

• Verifique os tipos de registos do Zeek que o analisador do Google Security Operations suporta. A tabela seguinte apresenta os tipos de registos do Zeek que o analisador do Google Security Operations suporta:

Tipo de registo	Descrição
Protocolos de rede	Inclui ficheiros de registo de protocolos de rede, como o protocolo de configuração dinâmica de anfitrião (DHCP) e o sistema de nomes de domínio (DNS).
Ficheiros	Inclui os seguintes ficheiros de registo: resultados da análise de ficheiros, Protocolo de estado do certificado online (OCSP), executável portátil (PE) e certificado X.509.
NetControl	Inclui ficheiros de registo de ações do NetControl e registos de depuração do OpenFlow.
Deteção	Inclui ficheiros de registo de correspondências de dados de inteligência, avisos do Zeek, stream de alarmes, correspondências de assinaturas e deteção de traceroute.
Observações da rede	Inclui ficheiros de registo de certificados SSL, anfitriões que concluíram negociações de TCP, Modbus primário e réplica, serviços em execução em anfitriões e software usado na rede.

• Se ainda não o fez, instale e configure o Zeek. Para mais informações, consulte o artigo Instalação do Zeek.

• Recolha registos do Zeek no formato JSON. Para mais informações, consulte o artigo Produza registos do Zeek para JSON.

• Certifique-se de que todos os sistemas na arquitetura de implementação estão configurados com o fuso horário UTC.

Configure o NXLog e o encaminhador do Google Security Operations

1. Transfira e instale o NXLog Community Edition na máquina Linux na qual o encaminhador do Google Security Operations é executado.
   • Para mais informações sobre a transferência do NXLog Community Edition, consulte a documentação do NXLog.
   • Para mais informações sobre a instalação dos pacotes e das dependências do NXLog necessários, consulte o artigo Instalar o NXLog num sistema Linux.
2. Crie um ficheiro de configuração para cada instância do NXLog.

3. Use o módulo NXLog im_file para ler a partir do ficheiro e analisar as linhas em campos. Segue-se um exemplo de configuração do NXLog:

   LogFile /var/log/nxlog/nxlog.log
   LogLevel INFO
   
   define ZEEK_OUTPUT_DESTINATION_ADDRESS <hostname>
   define ZEEK_OUTPUT_DESTINATION_PORT <port>
   
   <Input conn>
      Module      im_file
      File        '/opt/zeek/logs/current/conn.log'
      Exec $raw_event= "conn" + ' - ' + $raw_event;;
   </Input>
   
   <Input dce_rpc>
     Module      im_file
     File        '/opt/zeek/logs/current/dce_rpc.log'
     Exec $raw_event= "dce_rpc" + ' - ' + $raw_event;;
   </Input>
   
   <Output out_chronicle>
     Module  om_tcp
     Host    %ZEEK_OUTPUT_DESTINATION_ADDRESS%
     Port    %ZEEK_OUTPUT_DESTINATION_PORT%
   </Output>
   
   <Route zeek_to_chronicle>
     Path conn, dce_rpc => out_chronicle
   </Route>
   
   

   Para usar a configuração do exemplo anterior, faça o seguinte:

   • Substitua os valores <hostname> e <port> por informações sobre o servidor Linux de destino.
   • Adicione elementos de entrada, saída e trajeto para cada tipo de registo do Zeek que quer recolher.

4. Configure o encaminhador do Google Security Operations para enviar registos para o Google Security Operations. Para mais informações, consulte o artigo Instalar e configurar o encaminhador no Linux. Segue-se um exemplo de configuração do encaminhador.

     output:
     url: URL
     identity:
     identity:
     collector_id: COLLECTOR_ID
     customer_id: CUSTOMER_ID
     secret_key: |
   
     {
     "type": "service_account",
     "project_id": "malachite-projectname",
     "private_key_id": `PRIVATE_KEY_ID`,
     "private_key": `PRIVATE_KEY`,
     "client_email":"`SERVICE_ACCOUNT_NAME`@malachite-`PROJECT_ID`.`SERVICE_ACCOUNT_DOMAIN`",
     "client_id": `CLIENT_ID`,
     "auth_uri": "https://accounts.google.com/o/oauth2/auth",
     "token_uri": "https://oauth2.googleapis.com/token",
     "auth_provider_x509_cert_url":"https://www.googleapis.com/oauth2/v1/certs",
     "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/`SERVICSERVICE_ACCOUNT_NAME`%40malachite-`PROJECT_ID`.`SERVICE_ACCOUNT_DOMAIN`",
     }
   
     collectors:
     - syslog:
         common:
           enabled: true
           data_type: BRO_JSON
           batch_n_seconds: 10
           batch_n_bytes: 1048576
         tcp_address: 0.0.0.0:10518
         connection_timeout_sec: 60
   

5. Substitua PRIVATE_KEY_ID, PRIVATE_KEY SERVICSERVICE_ACCOUNT_NAME,PROJECT_ID, CLIENT_ID, SERVICE_ACCOUNT_DOMAIN CUSTOMER_ID,URL, COLLECTOR_ID e CUSTOMER_ID pelos respetivos valores do ficheiro JSON da conta de serviço, que pode transferir da Google Cloud plataforma.

6. Inicie o serviço NXLog.

Encaminhe registos para o Google SecOps através do agente Bindplane

1. Instale e configure uma máquina virtual Linux.
2. Instale e configure o agente Bindplane no Linux para encaminhar registos para o Google SecOps. Para mais informações sobre como instalar e configurar o agente Bindplane, consulte as instruções de instalação e configuração do agente Bindplane.

Se tiver problemas ao criar feeds, contacte o apoio técnico da Google SecOps.

Formatos de registos Zeek (Bro) suportados

O analisador Zeek (Bro) suporta registos no formato JSON e SYSLOG+JSON.

Registos de exemplo do Zeek (Bro) suportados

• JOSN

  {
    "insertId": "1pvsdy2f8v21o8",
    "jsonPayload": {
      "message": "Jun 14 07:46:10 dummyhostname systemd[1]: Stopping System Logging Service..."
    },
    "resource": {
      "type": "gce_instance",
      "labels": {
        "project_id": "cl-tpt-dis-awkc-con17-p-922a",
        "zone": "us-central1-a",
        "instance_id": "4136884722753789246"
      }
    },
    "timestamp": "2024-09-03T19:31:32.353129233Z",
    "labels": {
      "compute.googleapis.com/resource_name": "dummyostname"
    },
    "logName": "projects/cl-tpt-dis-awkc-con17-p-922a/logs/syslog",
    "receiveTimestamp": "2024-09-03T19:31:33.388651657Z"
  }
  

• SYSLOG + JSON

  <13>1 2021-12-21T23: 51: 25-08: 00 ia-cs-vubro-089 bro_http - - - {
    "ts": 1640159484.694295,
    "uid": "CTgT3z1adxn1EMPbmj",
    "id.orig_h": "198.51.100.27",
    "id.orig_p": 58729,
    "id.resp_h": "198.51.100.28",
    "id.resp_p": 8088,
    "trans_depth": 2284,
    "method": "POST",
    "host": "198.51.100.8",
    "uri": "/system/gateway",
    "version": "1.1",
    "user_agent": "Java/11.0.11",
    "request_body_len": 304,
    "response_body_len": 203,
    "status_code": 200,
    "status_msg": "OK",
    "tags": [],
    "orig_fuids": [
      "FefIdu4i8dzFTUONb5"
    ],
    "orig_mime_types": [
      "application/xml"
    ],
    "resp_fuids": [
      "Flqz7L3yyQR1eSN4Kf"
    ],
    "resp_mime_types": [
      "application/xml"
    ]
  }
  

Referência de mapeamento de campos: mapeamento de campos de registos do Zeek para campos da UDM

Para compreender como o analisador do Google Security Operations mapeia os campos de registo do Zeek para os campos de eventos UDM do Google Security Operations para cada tipo de registo do Zeek, consulte as secções seguintes:

• Protocolos de rede
• Ficheiros
• Netcontrol
• Deteção
• Observações da rede

Protocolos de rede

A tabela seguinte apresenta os campos de registo do tipo de registo de protocolos de rede e os respetivos campos UDM.

Ficheiros

A tabela seguinte apresenta os campos de registo do tipo de registo de ficheiros e os respetivos campos do UDM.

Netcontrol

A tabela seguinte apresenta os campos de registo do tipo de registo netcontrol e os respetivos campos do UDM.

Deteção

A tabela seguinte apresenta os campos de registo do tipo de registo de deteção e os respetivos campos UDM.

Observações da rede

A tabela seguinte lista os campos de registo do tipo de registo de observações da rede e os respetivos campos da UDM.

Referência de mapeamento de campos: ID do evento para tipo de evento do UDM

Para compreender como o analisador mapeia os nomes dos registos para os tipos de eventos do UDM, consulte as secções seguintes:

• Protocolos de rede
• Ficheiros
• Netcontrol
• Deteção
• Observações da rede

Protocolos de rede

A tabela seguinte apresenta os nomes dos registos do tipo de registo de protocolos de rede e os respetivos tipos de eventos UDM.

Nome de registo	Descrição	Tipo de evento UDM
conn.log	TCP/UDP/ICMP connections	NETWORK_CONNECTION
dce_rpc.log	Distributed Computing Environment/RPC	NETWORK_CONNECTION
dhcp.log	DHCP leases	NETWORK_DHCP
dnp3.log	DNP3 (Distributed Network Protocol 3) requests and replies	NETWORK_CONNECTION
dns.log	DNS activity	NETWORK_DNS
ftp.log	FTP (File Transfer Protocol) activity	NETWORK_FTP
http.log	HTTP requests and replies	NETWORK_HTTP
irc.log	IRC (Internet Relay Chat) commands and responses	NETWORK_CONNECTION
kerberos.log	Kerberos	NETWORK_CONNECTION
modbus.log	Modbus commands and responses	NETWORK_CONNECTION
modbus_register_change.log	Tracks changes to Modbus holding registers	GENERIC_EVENT
mysql.log	MySQL	NETWORK_UNCATEGORIZED
ntlm.log	NT LAN Manager (NTLM)	NETWORK_CONNECTION
ntp.log	Network Time Protocol	NETWORK_CONNECTION
radius.log	RADIUS authentication attempts	USER_LOGIN
rdp.log	Remote Desktop Protocol (RDP)	NETWORK_CONNECTION
rfb.log	Remote Framebuffer (RFB)	NETWORK_CONNECTION
sip.log	Session Initiation Protocol (SIP)	NETWORK_UNCATEGORIZED
smb_cmd.log	SMB (Server Message Block) commands	NETWORK_CONNECTION
smb_files.log	SMB (Server Message Block) files	NETWORK_UNCATEGORIZED
smb_mapping.log	SMB (Server Message Block) trees	NETWORK_CONNECTION
smtp.log	SMTP (Simple Mail Transfer Protocol) transactions	NETWORK_SMTP
snmp.log	SNMP (Simple Network Management Protocol) messages	NETWORK_UNCATEGORIZED
socks.log	SOCKS proxy requests	NETWORK_CONNECTION
ssh.log	SSH (Secure Shell) connections	NETWORK_UNCATEGORIZED
ssl.log	SSL(Secure Sockets Layer)/TLS(Transport Layer Security) handshake info	NETWORK_HTTP NETWORK_CONNECTION
syslog.log	Syslog messages	NETWORK_CONNECTION
tunnel.log	Tunneling protocol events	NETWORK_CONNECTION

Ficheiros

A tabela seguinte apresenta os nomes dos registos do tipo de registo de ficheiros e os respetivos tipos de eventos do UDM.

Nome de registo	Descrição	Tipo de evento UDM
files.log	File analysis results	NETWORK_UNCATEGORIZED
ocsp.log	If policy script is loaded, the Online Certificate Status Protocol (OCSP) log is created.	GENERIC_EVENT
pe.log	Portable Executable (PE)	GENERIC_EVENT
x509.log	X.509 certificate info	GENERIC_EVENT

Netcontrol

A tabela seguinte apresenta os nomes dos registos do tipo de registo netcontrol e os respetivos tipos de eventos UDM.

Nome de registo	Descrição	Tipo de evento UDM
netcontrol.log	NetControl actions	GENERIC_EVENT
netcontrol_drop.log	NetControl actions	STATUS_UPDATE
netcontrol_shunt.log	NetControl shunt actions	STATUS_UPDATE
netcontrol_catch_release.log	NetControl catch and release actions	GENERIC_EVENT
openflow.log	OpenFlow debug log	GENERIC_EVENT

Deteção

A tabela seguinte apresenta os nomes dos registos do tipo de registo de deteção e os respetivos tipos de eventos do UDM.

Nome de registo	Descrição	Tipo de evento UDM
intel.log	Intelligence data matches	GENERIC_EVENT
notice.log	Zeek notices	NETWORK_CONNECTION
notice_alarm.log	The alarm stream	NETWORK_CONNECTION
signatures.log	Signature matches	GENERIC_EVENT
traceroute.log	Traceroute detection	NETWORK_UNCATEGORIZED

Observações da rede

A tabela seguinte apresenta os nomes dos registos do tipo de registo de observações de rede e os respetivos tipos de eventos da UDM.

Nome de registo	Descrição	Tipo de evento UDM
known_certs.log	SSL certificates	GENERIC_EVENT
known_hosts.log	Hosts that completed TCP handshakes	GENERIC_EVENT
known_modbus.log	Modbus master and secondary	GENERIC_EVENT
known_services.log	Services running on hosts	GENERIC_EVENT
software.log	Software used on the network	GENERIC_EVENT

O que se segue?

• Carregamento de dados para o Google Security Operations

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.