Recoger registros Eve de Suricata

Disponible en:

En este documento se describe cómo puedes ver los registros de SURICATA_EVE en Google Security Operations.

En el siguiente diagrama de arquitectura de implementación se muestra cómo se configuran SURICATA_EVE y Logstash para enviar registros a Google Security Operations.

Arquitectura de despliegue

  1. Suricata guarda los datos en un archivo eve.json.
  2. Logstash monitoriza el archivo eve.json y reenvía los nuevos registros a un servidor syslog. El servidor syslog puede ser un reenviador en la misma VM o en una VM independiente.
  3. El servidor syslog usa el reenviador de Google Security Operations para detectar nuevos registros a través de un puerto específico.
  4. El reenviador de Google Security Operations reenvía los registros a una instancia de Google Security Operations.

Antes de empezar

  • Asegúrate de haber configurado el control de acceso para tu organización y tus recursos mediante Gestión de Identidades y Accesos (IAM). Para obtener más información sobre el control de acceso, consulta el artículo Control de acceso a organizaciones con gestión de identidades y accesos.

  • Asegúrate de que todos los sistemas de la arquitectura de implementación estén configurados en la zona horaria UTC.

  1. Crea un balanceador de carga de red interno.

  2. Configura la replicación de paquetes.

  3. Instala Suricata y confirma que las alertas se guardan en el archivo eve.json. Anota la ubicación del archivo eve.json.

  4. Instala Logstash en el servidor de Suricata.

  5. Edita el archivo de configuración de Logstash (/etc/logstash/conf.d/logstash.conf):

    a. Añade el código siguiente:

    • Cambia SYSLOG_SERVER por la ubicación de tu servidor syslog.
    • Asegúrate de que el número de puerto (en este ejemplo, 10520) coincida con el número de puerto de la configuración del reenviador de Google Security Operations.
    input {
  file {
      path => "/var/log/suricata/eve.json"
       start_position => "end"
       sincedb_path => "/dev/null"
   }
}
output {
   udp {
       host => "SYSLOG_SERVER"
       port => 10520
       codec => line { format => "%{message}"}
   }
}

    b. Cambia la output.udp.host dirección IP:

    • Si el reenviador de Google Security Operations está en un sistema diferente al del servidor syslog, utiliza la dirección IP del servidor syslog.

    • Si el reenviador de Google Security Operations está en el mismo sistema que el servidor syslog, utiliza una dirección IP interna.

Puedes usar otra solución de reenvío de registros, como rsyslog, con una configuración que elimine el encabezado syslog.

Ingerir los registros SURICATA_EVE

Sigue las instrucciones que se indican en el artículo Ingerir registros en Google Security Operations Google Cloud .

Si tienes problemas al ingerir registros de SURICATA_EVE, ponte en contacto con el equipo de Asistencia de Google Security Operations.

Para obtener más información sobre cómo ingiere datos Google Security Operations, consulta el artículo Información general sobre la ingestión de datos en Google Security Operations.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.