Suricata Eve ログを収集する

このドキュメントでは、Google Security Operations で SURICATA_EVE ログを表示する方法について説明します。

次のデプロイ アーキテクチャ図は、Google Security Operations にログを送信するように SURICATA_EVE と Logstash を構成する方法を示しています。

1. Suricata はデータを eve.json ファイルに保存します。
2. Logstash は eve.json ファイルを監視し、新しいログを syslog サーバーに転送します。syslog サーバーは、同じ VM または別の VM のフォワーダーにすることができます。
3. syslog サーバーは、Google Security Operations フォワーダーを使用して、特定のポートで新しいログをリッスンします。
4. Google Security Operations フォワーダーは、ログを Google Security Operations インスタンスに転送します。

始める前に

• Identity and Access Management（IAM）を使用して、組織とリソースのアクセス制御が設定されていることを確認します。アクセス制御の詳細については、IAM を使用した組織のアクセス制御をご覧ください。

• デプロイ アーキテクチャ内のすべてのシステムが、UTC タイムゾーンに構成されていることを確認します。

Suricata と関連ソフトウェアを構成する

1. 内部ネットワーク ロードバランサを作成します。

2. パケット ミラーリングを設定します。

3. Suricata をインストールし、アラートが eve.json ファイルに保存されていることを確認します。eve.json ファイルの場所をメモします。

4. Suricata サーバーに Logstash をインストールします。

5. Logstash 構成ファイル（/etc/logstash/conf.d/logstash.conf）を編集します。

   a. 以下のコードを追加:

   • SYSLOG_SERVER は、Syslog サーバーの場所に置き換えます。
   • ポート番号（この例では 10520）が Google Security Operations フォワーダー構成のポート番号と一致していることを確認します。

   input {
     file {
         path => "/var/log/suricata/eve.json"
          start_position => "end"
          sincedb_path => "/dev/null"
      }
   }
   output {
      udp {
          host => "SYSLOG_SERVER"
          port => 10520
          codec => line { format => "%{message}"}
      }
   }

   b. output.udp.host IP アドレスを変更します。

   • Google Security Operations 転送ツールが syslog サーバーとは異なるシステムにある場合は、syslog サーバーの IP アドレスを使用します。

   • Google Security Operations フォワーダーが syslog サーバーと同じシステムにある場合は、内部 IP アドレスを使用します。

syslog ヘッダーを削除する構成で、rsyslog などの別のログ フォワーダー ソリューションを使用できます。

SURICATA_EVE ログを取り込む

Google Cloud ログを Google Security Operations に取り込むの手順に沿って操作します。

SURICATA_EVE ログの取り込み時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。

Google Security Operations でデータを取得する方法については、Google Security Operations へのデータの取り込みの概要をご覧ください。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。