Collecter les journaux Eve de Suricata

Compatible avec :

Ce document explique comment afficher les journaux SURICATA_EVE dans Google Security Operations.

Le schéma d'architecture de déploiement suivant montre comment SURICATA_EVE et Logstash sont configurés pour envoyer des journaux à Google Security Operations.

Architecture de déploiement

  1. Suricata enregistre les données dans un fichier eve.json.
  2. Logstash surveille le fichier eve.json et transfère les nouveaux journaux vers un serveur syslog. Le serveur syslog peut être un transmetteur sur la même VM ou sur une VM distincte.
  3. Le serveur syslog utilise le redirecteur Google Security Operations pour écouter les nouveaux journaux sur un port spécifique.
  4. Le redirecteur Google Security Operations transfère les journaux vers une instance Google Security Operations.

Avant de commencer

  • Assurez-vous d'avoir configuré le contrôle des accès pour votre organisation et vos ressources à l'aide d'Identity and Access Management (IAM). Pour en savoir plus sur le contrôle des accès, consultez Contrôle des accès pour les organisations avec IAM.

  • Assurez-vous que tous les systèmes de l'architecture de déploiement sont configurés dans le fuseau horaire UTC.

  1. Créez un équilibreur de charge réseau interne.

  2. Configurez la mise en miroir de paquets.

  3. Installez Suricata et vérifiez que les alertes sont enregistrées dans le fichier eve.json. Notez l'emplacement du fichier eve.json.

  4. Installez Logstash sur le serveur Suricata.

  5. Modifiez le fichier de configuration Logstash (/etc/logstash/conf.d/logstash.conf) :

    a. Ajoutez le code suivant :

    • Remplacez SYSLOG_SERVER par l'emplacement de votre serveur syslog.
    • Assurez-vous que le numéro de port (10520 dans cet exemple) correspond à celui de la configuration du redirecteur Google Security Operations.
    input {
  file {
      path => "/var/log/suricata/eve.json"
       start_position => "end"
       sincedb_path => "/dev/null"
   }
}
output {
   udp {
       host => "SYSLOG_SERVER"
       port => 10520
       codec => line { format => "%{message}"}
   }
}

    b. Modifiez l'adresse IP output.udp.host :

    • Si le redirecteur Google Security Operations se trouve sur un système différent de celui du serveur syslog, utilisez l'adresse IP du serveur syslog.

    • Si le redirecteur Google Security Operations se trouve sur le même système que le serveur syslog, utilisez une adresse IP interne.

Vous pouvez utiliser une autre solution de transfert de journaux, telle que rsyslog, avec une configuration qui supprime l'en-tête syslog.

Ingérer les journaux SURICATA_EVE

Suivez les instructions de la section Ingérer des journaux Google Cloud dans Google Security Operations.

Si vous rencontrez des problèmes lors de l'ingestion des journaux SURICATA_EVE, contactez l'assistance Google Security Operations.

Pour en savoir plus sur la façon dont Google Security Operations ingère les données, consultez Présentation de l'ingestion de données dans Google Security Operations.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.