Coletar registros do Snort

Neste documento, explicamos como coletar registros do Snort para as operações de segurança do Google usando o Bindplane. O analisador tenta processar dois formatos de registro do Snort diferentes (SYSLOG + JSON) usando padrões grok para extrair campos relevantes. Dependendo do formato identificado, ele processa os dados, mapeando os campos extraídos para o esquema do modelo de dados unificado (UDM, na sigla em inglês), normalizando valores e enriquecendo a saída com mais contexto.

Antes de começar

• Verifique se você tem uma instância do Google Security Operations.
• Verifique se você está usando o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
• Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
• Verifique se você tem acesso privilegiado ao Snort.

Receber o arquivo de autenticação de ingestão do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Agentes de coleta.
3. Faça o download do arquivo de autenticação de transferência. Salve o arquivo com segurança no sistema em que o BindPlane será instalado.

Receber o ID de cliente do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Perfil.
3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

1. Abra o Prompt de Comando ou o PowerShell como administrador.

2. Execute este comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalação do Linux

1. Abra um terminal com privilégios de raiz ou sudo.

2. Execute este comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Outros recursos de instalação

• Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para processar o Syslog e enviar ao Google SecOps

1. Acesse o arquivo de configuração:

   1. Localize o arquivo config.yaml. Normalmente, ele está no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
   2. Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Notepad).

2. Edite o arquivo config.yaml da seguinte forma:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: SNORT_IDS
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

4. Substitua <customer_id> pelo ID real do cliente.

5. Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber o arquivo de autenticação de transferência do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

• Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

  sudo systemctl restart bindplane-agent
  

• Para reiniciar o agente do Bindplane no Windows, use o console Services ou digite o seguinte comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurar a exportação de syslog no Snort v2.x

1. Faça login no dispositivo Snort usando o terminal.
2. Edite o seguinte arquivo: /etc/snort/snort.conf
3. Acesse 6) Configure output plugins.

4. Adicione a seguinte entrada:

   # syslog
   output alert_syslog: host=BINDPLANE_IP_ADDRESS:PORT_NUMBER, LOG_AUTH LOG_ALERT
   

5. Substitua:

   • BINDPLANE_IP_ADDRESS: Bindplane Agent IP address.
   • PORT_NUMBER: Bindplane Agent port number.

6. Salve o arquivo.

7. Inicie o serviço snort.

8. Interrompa o serviço rsyslog.

9. Edite o seguinte arquivo: /etc/rsyslogd.conf

   # remote host is: name/ip:port
   *.* @@BINDPLANE_IP_ADDRESS:PORT_NUMBER
   

10. Substitua:

    • BINDPLANE_IP_ADDRESS: Bindplane Agent IP address.
    • PORT_NUMBER: Bindplane Agent port number.

11. Inicie o serviço rsyslog.

Configurar a exportação de syslog no Snort v3.1.53

1. Faça login no dispositivo Snort usando o terminal.
2. Interrompa os serviços rsyslog e snort.
3. Acesse o seguinte diretório de instalação do Snort: /usr/local/etc/snort/

4. Edite o seguinte arquivo de configuração do Snort: snort.lua

5. Nas opções Configurar saídas, adicione o código a seguir (você pode usar qualquer instalação e nível):

   alert_syslog =
     {
       facility = 'local3',
       level = 'info',
     }
   

6. Salve o arquivo de configuração do Snort.

7. Acesse o diretório de arquivos de configuração padrão do serviço rsyslog: /etc/rsyslog.d

8. Crie um novo arquivo: 3-snort.conf:

   # cd /etc/rsyslog.d
   # vi 3-snort.conf
   

9. Para enviar registros por TCP ou UDP, adicione a seguinte configuração: local3.* @@BINDPLANE_IP_ADDRESS:PORT_NUMBER

10. Substitua:

    • BINDPLANE_IP_ADDRESS: Bindplane agent IP address.
    • PORT_NUMBER: Bindplane agent port number.

11. Salve o arquivo.

12. Inicie o rsyslog e o serviço snort.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
agent.hostname	observer.hostname	Valor retirado do campo agent.hostname no registro bruto.
agent.id	observer.asset_id	O valor é retirado do campo agent.id no registro bruto e concatenado com agent.type da seguinte maneira: agent.type:agent.id.
agent.type	observer.application	Valor retirado do campo agent.type no registro bruto.
agent.version	observer.platform_version	Valor retirado do campo agent.version no registro bruto.
alert.category	security_result.category_details	Valor extraído do campo alert.category no registro bruto.
alert.rev	security_result.rule_version	Valor extraído do campo alert.rev no registro bruto.
alert.rule	security_result.summary	Valor retirado do campo alert.rule no registro bruto, com aspas duplas removidas.
alert.severity	security_result.severity	Se alert.severity for maior ou igual a 4, defina como LOW. Se alert.severity for 2 ou 3, defina como MEDIUM. Se alert.severity for 1, defina como HIGH. Caso contrário, defina como UNKNOWN_SEVERITY.
alert.signature	security_result.rule_name	Valor extraído do campo alert.signature no registro bruto.
alert.signature_id	security_result.rule_id	Valor extraído do campo alert.signature_id no registro bruto.
app_proto	network.application_protocol	Se app_proto for dns, smb ou http, converta para maiúsculas e use esse valor. Caso contrário, defina como UNKNOWN_APPLICATION_PROTOCOL.
categoria	security_result.category	Se category for trojan-activity, defina como NETWORK_MALICIOUS. Se category for policy-violation, defina como POLICY_VIOLATION. Caso contrário, defina como UNKNOWN_CATEGORY.
classtype	security_result.rule_type	Valor retirado do campo classtype no registro bruto, se não estiver vazio ou unknown.
community_id	network.community_id	Valor extraído do campo community_id no registro bruto.
date_log		Usado para definir o carimbo de data/hora do evento se o campo time estiver vazio.
desc	metadata.description	Valor extraído do campo desc no registro bruto.
dest_ip	target.ip	Valor extraído do campo dest_ip no registro bruto.
dest_port	target.port	Valor retirado do campo dest_port no registro bruto e convertido em número inteiro.
dstport	target.port	Valor retirado do campo dstport no registro bruto e convertido em número inteiro.
file.filename	security_result.about.file.full_path	Valor retirado do campo file.filename no registro bruto, se não estiver vazio ou /.
file.size	security_result.about.file.size	Valor retirado do campo file.size no registro bruto e convertido em número inteiro não assinado.
host.name	principal.hostname	Valor extraído do campo host.name no registro bruto.
nome do host	principal.hostname	Valor extraído do campo hostname no registro bruto.
inter_host	intermediary.hostname	Valor extraído do campo inter_host no registro bruto.
log.file.path	principal.process.file.full_path	Valor extraído do campo log.file.path no registro bruto.
metadata.version	metadata.product_version	Valor extraído do campo metadata.version no registro bruto.
proto	network.ip_protocol	Valor extraído do campo proto no registro bruto. Se for um número, ele será convertido no nome do protocolo IP correspondente usando uma tabela de pesquisa.
rule_name	security_result.rule_name	Valor extraído do campo rule_name no registro bruto.
signature_id	security_result.rule_id	Valor extraído do campo signature_id no registro bruto.
signature_rev	security_result.rule_version	Valor extraído do campo signature_rev no registro bruto.
src_ip	principal.ip	Valor extraído do campo src_ip no registro bruto.
src_port	principal.port	Valor retirado do campo src_port no registro bruto e convertido em número inteiro.
srcport	principal.port	Valor retirado do campo srcport no registro bruto e convertido em número inteiro.
tempo		Usado para definir o carimbo de data/hora do evento.
	is_alert	Defina como true se alert.severity for 1. Caso contrário, não será mapeado.
	is_significant	Defina como true se alert.severity for 1. Caso contrário, não será mapeado.
	metadata.event_type	Sempre defina como SCAN_NETWORK.
	metadata.log_type	Fixado em SNORT_IDS.
	metadata.product_name	Fixado em SNORT_IDS.
	metadata.vendor_name	Fixado em SNORT.
	security_result.action	Defina como ALLOW se alert.action for allowed. Caso contrário, defina como UNKNOWN_ACTION.

Alterações

2024-12-04

Melhoria:

• Foram adicionados padrões Grok para processar registros no formato SYSLOG.
• Se o valor de net_proto for Tcp, defina o valor de network.ip_protocol como TCP.

2024-11-21

Melhoria:

• Adicionamos um padrão Grok para processar registros no formato SYSLOG.

2022-09-22

Melhoria:

• Adição da condição on_error para o campo "agent.hostname" para analisar os registros não analisados.

2022-07-05

Melhoria:

• Um padrão Grok foi adicionado para processar registros no formato syslog.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.