Coletar registros do Suricata Eve

Compatível com:

Este documento descreve como visualizar registros SURICATA_EVE no Google Security Operations.

O diagrama de arquitetura de implantação a seguir mostra como SURICATA_EVE e Logstash são configurados para enviar registros ao Google Security Operations.

Arquitetura de implantação

  1. O Suricata salva os dados em um arquivo eve.json.
  2. O Logstash monitora o arquivo eve.json e encaminha novos registros para um servidor syslog. O servidor syslog pode ser um encaminhador na mesma VM ou em uma VM separada.
  3. O servidor syslog usa o encaminhador do Google Security Operations para detectar novos registros em uma porta específica.
  4. O encaminhador do Google Security Operations encaminha os registros para uma instância do Google Security Operations.

Antes de começar

  • Verifique se você configurou o controle de acesso para sua organização e recursos usando o Identity and Access Management (IAM). Para mais informações sobre controle de acesso, consulte Controle de acesso para organizações com o IAM.

  • Verifique se todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC.

  1. Crie um balanceador de carga de rede interno.

  2. Configure o espelhamento de pacotes.

  3. Instale o Suricata e confirme se os alertas estão sendo salvos no arquivo eve.json. Anote onde o arquivo eve.json está localizado.

  4. Instale o Logstash no servidor do Suricata.

  5. Edite o arquivo de configuração do Logstash (/etc/logstash/conf.d/logstash.conf):

    a. Adicione o seguinte código:

    • Mude SYSLOG_SERVER para o local do seu servidor syslog.
    • Verifique se o número da porta (neste exemplo, 10520) corresponde ao número da porta na configuração do encaminhador das Operações de segurança do Google.
    input {
  file {
      path => "/var/log/suricata/eve.json"
       start_position => "end"
       sincedb_path => "/dev/null"
   }
}
output {
   udp {
       host => "SYSLOG_SERVER"
       port => 10520
       codec => line { format => "%{message}"}
   }
}

    b. Mude o endereço IP output.udp.host:

    • Se o encaminhador do Google Security Operations estiver em um sistema diferente do servidor syslog, use o endereço IP do servidor syslog.

    • Se o encaminhador do Google Security Operations estiver no mesmo sistema que o servidor syslog, use um endereço IP interno.

Você pode usar outra solução de encaminhamento de registros, como o rsyslog, com uma configuração que remove o cabeçalho syslog.

Ingerir os registros SURICATA_EVE

Siga as instruções em Ingerir registros Google Cloud no Google Security Operations.

Se você tiver problemas ao ingerir registros SURICATA_EVE, entre em contato com o suporte das Operações de segurança do Google.

Para mais informações sobre como o Google Security Operations ingere dados, consulte Visão geral da ingestão de dados no Google Security Operations.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.