Recopila registros de Eve de Suricata

Compatible con:

En este documento, se describe cómo puedes ver los registros de SURICATA_EVE en Google Security Operations.

En el siguiente diagrama de arquitectura de implementación, se muestra cómo se configuran SURICATA_EVE y Logstash para enviar registros a Google Security Operations.

Arquitectura de implementación

  1. Suricata guarda los datos en un archivo eve.json.
  2. Logstash supervisa el archivo eve.json y reenvía los registros nuevos a un servidor syslog. El servidor syslog puede ser un retransmisor en la misma VM o en una VM separada.
  3. El servidor syslog usa el reenvío de Google Security Operations para escuchar los registros nuevos a través de un puerto específico.
  4. El agente de reenvío de Google Security Operations reenvía los registros a una instancia de Google Security Operations.

Antes de comenzar

  • Asegúrate de haber configurado el control de acceso para tu organización y tus recursos con Identity and Access Management (IAM). Para obtener más información sobre el control de acceso, consulta Control de acceso para organizaciones con IAM.

  • Asegúrate de que todos los sistemas de la arquitectura de implementación estén configurados en la zona horaria UTC.

  1. Crea un balanceador de cargas de red interno.

  2. Configura la duplicación de paquetes.

  3. Instala Suricata y confirma que las alertas se guardan en el archivo eve.json. Toma nota de la ubicación del archivo eve.json.

  4. Instala Logstash en el servidor de Suricata.

  5. Edita el archivo de configuración de Logstash (/etc/logstash/conf.d/logstash.conf):

    a. Agrega el siguiente código:

    • Cambia SYSLOG_SERVER a la ubicación de tu servidor syslog.
    • Asegúrate de que el número de puerto (en este ejemplo, 10520) coincida con el número de puerto en la configuración del retransmisor de Google Security Operations.
    input {
  file {
      path => "/var/log/suricata/eve.json"
       start_position => "end"
       sincedb_path => "/dev/null"
   }
}
output {
   udp {
       host => "SYSLOG_SERVER"
       port => 10520
       codec => line { format => "%{message}"}
   }
}

    b. Cambia la dirección IP de output.udp.host:

    • Si el reenviador de Google Security Operations se encuentra en un sistema diferente del servidor syslog, usa la dirección IP del servidor syslog.

    • Si el reenviador de Google Security Operations se encuentra en el mismo sistema que el servidor syslog, usa una dirección IP interna.

Puedes usar otra solución de reenvío de registros, como rsyslog, con una configuración que quite el encabezado de syslog.

Transfiere los registros de SURICATA_EVE

Sigue las instrucciones en Cómo transferir registros Google Cloud a Google Security Operations.

Si tienes problemas para transferir registros de SURICATA_EVE, comunícate con el equipo de asistencia de Google Security Operations.

Para obtener más información sobre cómo Google Security Operations transfiere datos, consulta la descripción general de la transferencia de datos a Google Security Operations.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.