Recopilar registros de SURICATA_EVE
En este documento, se describe cómo puedes ver los registros de SURICATA_EVE en Google Security Operations.
El siguiente diagrama de arquitectura de implementación muestra cómo SURICATA_EVE y Logstash están configurados para enviar registros a Google Security Operations.
- Suricata guarda los datos en un archivo
eve.json
. - Logstash observa el archivo
eve.json
y reenvía los registros nuevos a un servidor syslog. El servidor syslog puede ser un servidor de reenvío en la misma VM o en una VM separada. - El servidor de syslog usa el reenviador de Google Security Operations para escuchar registros nuevos en un puerto específico.
- El servidor de reenvío de Google Security Operations reenvía los registros a una instancia de Google Security Operations.
Antes de comenzar
Asegúrate de haber configurado el control de acceso para tu organización y tus recursos con Identity and Access Management (IAM). Para obtener más información sobre el control de acceso, consulta Control de acceso para organizaciones con la IAM.
Asegúrate de que todos los sistemas de la arquitectura de implementación estén configurados en la zona horaria UTC.
Configura Suricata y el software relacionado
Crea un balanceador de cargas de red interno.
Configura la duplicación de paquetes.
Instala Suricata y confirma que las alertas se guarden en el archivo
eve.json
. Observa dónde se encuentra el archivoeve.json
.Instala Logstash en el servidor de Suricata.
Edita el archivo de configuración de Logstash (
/etc/logstash/conf.d/logstash.conf
):a. Agrega el siguiente código:
- Cambia
SYSLOG_SERVER
por la ubicación de tu servidor de syslog. - Asegúrate de que el número de puerto (en este ejemplo,
10520
) coincida con el número de puerto de la configuración del servidor de reenvío de Google Security Operations.
input { file { path => "/var/log/suricata/eve.json" start_position => "end" sincedb_path => "/dev/null" } } output { udp { host => "SYSLOG_SERVER" port => 10520 codec => line { format => "%{message}"} } }
b. Cambia la dirección IP
output.udp.host
:Si el servidor de reenvío de Google Security Operations se encuentra en un sistema diferente al del servidor syslog, use la dirección IP del servidor syslog.
Si el servidor de reenvío de Google Security Operations se encuentra en el mismo sistema que el servidor syslog, use una dirección IP interna.
- Cambia
Puedes usar otra solución de reenvío de registros, como rsyslog, con una configuración que quite el encabezado de syslog.
Transfiere los registros de SURICATA_EVE
Sigue las instrucciones en Transfiere registros de Google Cloud a Google Security Operations.
Si tienes problemas para transferir los registros de SURICATA_EVE, comunícate con el equipo de asistencia de Google Security Operations.
Para obtener más información sobre cómo Google Security Operations transfiere datos, consulta la descripción general de la transferencia de datos a Google Security Operations.