Raccogliere i log Eve di Suricata

Supportato in:

Questo documento descrive come visualizzare i log SURICATA_EVE in Google Security Operations.

Il seguente diagramma dell'architettura di deployment mostra come sono configurati SURICATA_EVE e Logstash per inviare i log a Google Security Operations.

Architettura di deployment

  1. Suricata salva i dati in un file eve.json.
  2. Logstash monitora il file eve.json e inoltra i nuovi log a un server syslog. Il server syslog può essere un forwarder sulla stessa VM o su una VM separata.
  3. Il server syslog utilizza il forwarder Google Security Operations per rilevare nuovi log su una porta specifica.
  4. Il programma di inoltro Google Security Operations inoltra i log a un'istanza Google Security Operations.

Prima di iniziare

  • Assicurati di aver configurato controllo dell'accesso per la tua organizzazione e le tue risorse utilizzando Identity and Access Management (IAM). Per saperne di più sul controllo dell'accesso dell'accesso, consulta Controllo dell'accesso per le organizzazioni con IAM.

  • Assicurati che tutti i sistemi nell'architettura di deployment siano configurati nel fuso orario UTC.

  1. Crea un bilanciatore del carico di rete interno.

  2. Configura il mirroring pacchetto.

  3. Installa Suricata e verifica che gli avvisi vengano salvati nel file eve.json. Prendi nota della posizione del file eve.json.

  4. Installa Logstash sul server Suricata.

  5. Modifica il file di configurazione di Logstash (/etc/logstash/conf.d/logstash.conf):

    a. Aggiungi il codice seguente:

    • Modifica SYSLOG_SERVER con la posizione del server syslog.
    • Assicurati che il numero di porta (in questo esempio, 10520) corrisponda a quello nella configurazione del forwarder di Google Security Operations.
    input {
  file {
      path => "/var/log/suricata/eve.json"
       start_position => "end"
       sincedb_path => "/dev/null"
   }
}
output {
   udp {
       host => "SYSLOG_SERVER"
       port => 10520
       codec => line { format => "%{message}"}
   }
}

    b. Modifica l'indirizzo IP di output.udp.host:

    • Se il forwarder di Google Security Operations si trova su un sistema diverso dal server syslog, utilizza l'indirizzo IP del server syslog.

    • Se il forwarder Google Security Operations si trova sullo stesso sistema del server syslog, utilizza un indirizzo IP interno.

Puoi utilizzare un'altra soluzione di inoltro dei log, ad esempio rsyslog, con una configurazione che rimuove l'intestazione syslog.

Importa i log SURICATA_EVE

Segui le istruzioni riportate in Importa Google Cloud i log in Google Security Operations.

Se riscontri problemi durante l'importazione dei log SURICATA_EVE, contatta l'assistenza di Google Security Operations.

Per saperne di più su come Google Security Operations importa i dati, consulta la panoramica sull'importazione dei dati in Google Security Operations.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.