Se usó la API de Cloud Translation para traducir esta página.

Recopilar registros de SURICATA_EVE

En este documento, se describe cómo puedes ver los registros de SURICATA_EVE en Google Security Operations.

El siguiente diagrama de arquitectura de implementación muestra cómo SURICATA_EVE y Logstash están configurados para enviar registros a Google Security Operations.

Arquitectura de implementación

Suricata guarda los datos en un archivo eve.json.
Logstash observa el archivo eve.json y reenvía los registros nuevos a un servidor syslog. El servidor syslog puede ser un servidor de reenvío en la misma VM o en una VM separada.
El servidor de syslog usa el reenviador de Google Security Operations para escuchar registros nuevos en un puerto específico.
El servidor de reenvío de Google Security Operations reenvía los registros a una instancia de Google Security Operations.

Antes de comenzar

Asegúrate de haber configurado el control de acceso para tu organización y tus recursos con Identity and Access Management (IAM). Para obtener más información sobre el control de acceso, consulta Control de acceso para organizaciones con la IAM.
Asegúrate de que todos los sistemas de la arquitectura de implementación estén configurados en la zona horaria UTC.

Configura Suricata y el software relacionado

Crea un balanceador de cargas de red interno.
Configura la duplicación de paquetes.
Instala Suricata y confirma que las alertas se guarden en el archivo eve.json. Observa dónde se encuentra el archivo eve.json.
Instala Logstash en el servidor de Suricata.
Edita el archivo de configuración de Logstash (/etc/logstash/conf.d/logstash.conf):

a. Agrega el siguiente código:
- Cambia SYSLOG_SERVER por la ubicación de tu servidor de syslog.
- Asegúrate de que el número de puerto (en este ejemplo, 10520) coincida con el número de puerto de la configuración del servidor de reenvío de Google Security Operations.
```
input {
  file {
      path => "/var/log/suricata/eve.json"
       start_position => "end"
       sincedb_path => "/dev/null"
   }
}
output {
   udp {
       host => "SYSLOG_SERVER"
       port => 10520
       codec => line { format => "%{message}"}
   }
}
```
b. Cambia la dirección IP output.udp.host:
- Si el servidor de reenvío de Google Security Operations se encuentra en un sistema diferente al del servidor syslog, use la dirección IP del servidor syslog.
- Si el servidor de reenvío de Google Security Operations se encuentra en el mismo sistema que el servidor syslog, use una dirección IP interna.

Puedes usar otra solución de reenvío de registros, como rsyslog, con una configuración que quite el encabezado de syslog.

Transfiere los registros de SURICATA_EVE

Sigue las instrucciones en Transfiere registros de Google Cloud a Google Security Operations.

Si tienes problemas para transferir los registros de SURICATA_EVE, comunícate con el equipo de asistencia de Google Security Operations.

Para obtener más información sobre cómo Google Security Operations transfiere datos, consulta la descripción general de la transferencia de datos a Google Security Operations.