Suricata-Ereignisprotokolle erfassen

In diesem Dokument wird beschrieben, wie Sie SURICATA_EVE-Protokolle in Google Security Operations aufrufen können.

Das folgende Diagramm der Bereitstellungsarchitektur zeigt, wie SURICATA_EVE und Logstash so konfiguriert sind, dass Logs an Google Security Operations gesendet werden.

1. Suricata speichert Daten in einer eve.json-Datei.
2. Logstash überwacht die Datei eve.json und leitet neue Logs an einen Syslog-Server weiter. Der Syslog-Server kann ein Weiterleitungs-Server auf derselben VM oder auf einer separaten VM sein.
3. Der Syslog-Server verwendet den Google Security Operations-Forwarder, um über einen bestimmten Port auf neue Logs zu warten.
4. Der Google Security Operations-Forwarder leitet die Logs an eine Google Security Operations-Instanz weiter.

Hinweise

• Prüfen Sie, ob Sie die Zugriffssteuerung für Ihre Organisation und Ressourcen mit Identity and Access Management (IAM) eingerichtet haben. Weitere Informationen zur Zugriffssteuerung finden Sie unter Zugriffssteuerung für Organisationen mit IAM.

• Achten Sie darauf, dass alle Systeme in der Bereitstellungsarchitektur in der UTC-Zeitzone konfiguriert sind.

Suricata und zugehörige Software konfigurieren

1. Erstellen Sie einen internen Netzwerk-Load-Balancer.

2. Paketspiegelung einrichten

3. Installieren Sie Suricata und prüfen Sie, ob Warnungen in der Datei eve.json gespeichert werden. Notieren Sie sich, wo sich die Datei eve.json befindet.

4. Installieren Sie Logstash auf dem Suricata-Server.

5. Bearbeiten Sie die Logstash-Konfigurationsdatei (/etc/logstash/conf.d/logstash.conf):

   a. Fügen Sie den folgenden Code hinzu:

   • Ändern Sie SYSLOG_SERVER in den Speicherort Ihres Syslog-Servers.
   • Achten Sie darauf, dass die Portnummer (in diesem Beispiel 10520) mit der Portnummer in der Google Security Operations-Forwarder-Konfiguration übereinstimmt.

   input {
     file {
         path => "/var/log/suricata/eve.json"
          start_position => "end"
          sincedb_path => "/dev/null"
      }
   }
   output {
      udp {
          host => "SYSLOG_SERVER"
          port => 10520
          codec => line { format => "%{message}"}
      }
   }

   b. Ändern Sie die IP-Adresse output.udp.host:

   • Wenn sich der Google Security Operations-Forwarder auf einem anderen System als der Syslog-Server befindet, verwenden Sie die IP-Adresse des Syslog-Servers.

   • Wenn sich der Google Security Operations-Forwarder auf demselben System wie der Syslog-Server befindet, verwenden Sie eine interne IP-Adresse.

Sie können auch eine andere Lösung zum Weiterleiten von Logs verwenden, z. B. rsyslog, mit einer Konfiguration, die den Syslog-Header entfernt.

SURICATA_EVE-Logs aufnehmen

Folgen Sie der Anleitung unter Protokolle in Google Security Operations aufnehmen. Google Cloud

Wenn beim Erfassen von SURICATA_EVE-Logs Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.

Weitere Informationen zur Datenaufnahme in Google Security Operations finden Sie unter Übersicht über die Datenaufnahme in Google Security Operations.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten