このページは Cloud Translation API によって翻訳されました。

Snort ログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Bindplane を使用して Snort ログを Google Security Operations に収集する方法について説明します。パーサーは、grok パターンを使用して関連フィールドを抽出し、2 つの異なる Snort ログ形式（SYSLOG + JSON）を処理しようとします。特定された形式に応じて、データをさらに処理し、抽出されたフィールドを統合データモデル（UDM）スキーマにマッピングし、値を正規化して、追加のコンテキストで出力を拡充します。

始める前に

Google Security Operations インスタンスがあることを確認します。
Windows 2016 以降、または systemd を使用する Linux ホストを使用していることを確認します。
プロキシの背後で実行している場合は、ファイアウォールポートが開いていることを確認します。
Snort への特権アクセス権があることを確認します。

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [コレクションエージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows のインストール

管理者として コマンドプロンプトまたは PowerShell を開きます。

次のコマンドを実行します。

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux のインストール

root 権限または sudo 権限でターミナルを開きます。

次のコマンドを実行します。

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

その他のインストールリソース

その他のインストールオプションについては、こちらのインストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルにアクセスします。
1. config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストールディレクトリにあります。
2. テキストエディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

config.yaml ファイルを次のように編集します。

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SNORT_IDS
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id> は、実際の顧客 ID に置き換えます。
/path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
```
sudo systemctl restart bindplane-agent
```
Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Snort v2.x で syslog エクスポートを構成する

ターミナルを使用して Snort デバイスにログインします。
次のファイルを編集します。/etc/snort/snort.conf
6) Configure output plugins に移動します。

次のエントリを追加します。

# syslog
output alert_syslog: host=BINDPLANE_IP_ADDRESS:PORT_NUMBER, LOG_AUTH LOG_ALERT

次のように置き換えます。
- BINDPLANE_IP_ADDRESS: Bindplane Agent IP address.
- PORT_NUMBER: Bindplane Agent port number.
ファイルを保存します。
snort サービスを起動します。
rsyslog サービスを停止します。

次のファイルを編集します。/etc/rsyslogd.conf

# remote host is: name/ip:port
*.* @@BINDPLANE_IP_ADDRESS:PORT_NUMBER

次のように置き換えます。
- BINDPLANE_IP_ADDRESS: Bindplane Agent IP address.
- PORT_NUMBER: Bindplane Agent port number.
rsyslog サービスを起動します。

Snort v3.1.53 で syslog エクスポートを構成する

ターミナルを使用して Snort デバイスにログインします。
rsyslog サービスと snort サービスを停止します。
次の Snort インストールディレクトリに移動します。/usr/local/etc/snort/
次の Snort 構成ファイルを編集します。snort.lua

注: Snort インストールディレクトリは、Snort をインストールしたカスタムパスにすることができます。
[Configure outputs] オプションで、次のコードを追加します（任意のファシリティとレベルを使用できます）。
```
alert_syslog =
  {
    facility = 'local3',
    level = 'info',
  }
```
Snort 構成ファイルを保存します。
rsyslog サービスのデフォルト構成ファイルディレクトリ /etc/rsyslog.d に移動します。
新しいファイルを作成します。3-snort.conf:
```
# cd /etc/rsyslog.d
# vi 3-snort.conf
```
TCP または UDP 経由でログを送信するには、次の構成を追加します。local3.* @@BINDPLANE_IP_ADDRESS:PORT_NUMBER
次のように置き換えます。
- BINDPLANE_IP_ADDRESS: Bindplane agent IP address.
- PORT_NUMBER: Bindplane agent port number.
ファイルを保存します。
rsyslog を起動してから、snort サービスを起動します。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
agent.hostname	observer.hostname	未加工ログの `agent.hostname` フィールドから取得された値。
agent.id	observer.asset_id	未加工ログの `agent.id` フィールドから取得された値が、次のように `agent.type` と連結されます。`agent.type:agent.id`。
agent.type	observer.application	未加工ログの `agent.type` フィールドから取得された値。
agent.version	observer.platform_version	未加工ログの `agent.version` フィールドから取得された値。
alert.category	security_result.category_details	未加工ログの `alert.category` フィールドから取得された値。
alert.rev	security_result.rule_version	未加工ログの `alert.rev` フィールドから取得された値。
alert.rule	security_result.summary	未加工ログの `alert.rule` フィールドから取得された値（二重引用符は削除されます）。
alert.severity	security_result.severity	`alert.severity` が 4 以上の場合は、`LOW` に設定します。`alert.severity` が 2 または 3 の場合は、`MEDIUM` に設定します。`alert.severity` が 1 の場合は、`HIGH` に設定します。それ以外の場合は `UNKNOWN_SEVERITY` に設定します。
alert.signature	security_result.rule_name	未加工ログの `alert.signature` フィールドから取得された値。
alert.signature_id	security_result.rule_id	未加工ログの `alert.signature_id` フィールドから取得された値。
app_proto	network.application_protocol	`app_proto` が `dns`、`smb`、または `http` の場合、大文字に変換してその値を使用します。それ以外の場合は `UNKNOWN_APPLICATION_PROTOCOL` に設定します。
category	security_result.category	`category` が `trojan-activity` の場合は、`NETWORK_MALICIOUS` に設定します。`category` が `policy-violation` の場合は、`POLICY_VIOLATION` に設定します。それ以外の場合は `UNKNOWN_CATEGORY` に設定します。
classtype	security_result.rule_type	未加工ログの `classtype` フィールドから取得された値（空でも `unknown` でもない場合）。
community_id	network.community_id	未加工ログの `community_id` フィールドから取得された値。
date_log		`time` フィールドが空の場合に、イベントタイムスタンプを設定するために使用されます。
降順	metadata.description	未加工ログの `desc` フィールドから取得された値。
dest_ip	target.ip	未加工ログの `dest_ip` フィールドから取得された値。
dest_port	target.port	未加工ログの `dest_port` フィールドから取得され、整数に変換された値。
dstport	target.port	未加工ログの `dstport` フィールドから取得され、整数に変換された値。
file.filename	security_result.about.file.full_path	未加工ログの `file.filename` フィールドから取得された値（空でも `/` でもない場合）。
file.size	security_result.about.file.size	未加工ログの `file.size` フィールドから取得された値が符号なし整数に変換されます。
host.name	principal.hostname	未加工ログの `host.name` フィールドから取得された値。
hostname	principal.hostname	未加工ログの `hostname` フィールドから取得された値。
inter_host	intermediary.hostname	未加工ログの `inter_host` フィールドから取得された値。
log.file.path	principal.process.file.full_path	未加工ログの `log.file.path` フィールドから取得された値。
metadata.version	metadata.product_version	未加工ログの `metadata.version` フィールドから取得された値。
proto	network.ip_protocol	未加工ログの `proto` フィールドから取得された値。数値の場合は、ルックアップテーブルを使用して対応する IP プロトコル名に変換されます。
rule_name	security_result.rule_name	未加工ログの `rule_name` フィールドから取得された値。
signature_id	security_result.rule_id	未加工ログの `signature_id` フィールドから取得された値。
signature_rev	security_result.rule_version	未加工ログの `signature_rev` フィールドから取得された値。
src_ip	principal.ip	未加工ログの `src_ip` フィールドから取得された値。
src_port	principal.port	未加工ログの `src_port` フィールドから取得され、整数に変換された値。
srcport	principal.port	未加工ログの `srcport` フィールドから取得され、整数に変換された値。
時間		イベントのタイムスタンプを設定するために使用されます。
	metadata.event_type	常に `SCAN_NETWORK` に設定。
	metadata.log_type	`SNORT_IDS` にハードコードされています。
	metadata.product_name	`SNORT_IDS` にハードコードされています。
	metadata.vendor_name	`SNORT` にハードコードされています。
	security_result.action	`alert.action` が `allowed` の場合は `ALLOW` に設定し、それ以外の場合は `UNKNOWN_ACTION` に設定します。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。