Coletar registros do Snort
Neste documento, explicamos como coletar registros do Snort no Google Security Operations usando o Bindplane. O analisador tenta processar dois formatos diferentes de registros do Snort (SYSLOG + JSON) usando padrões grok
para extrair campos relevantes. Dependendo do formato identificado, ele processa ainda mais os dados, mapeando os campos extraídos para o esquema do modelo de dados unificado (UDM), normalizando valores e enriquecendo a saída com contexto adicional.
Antes de começar
- Verifique se você tem uma instância do Google Security Operations.
- Use o Windows 2016 ou uma versão mais recente ou um host Linux com
systemd
. - Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
- Verifique se você tem acesso privilegiado ao Snort.
Receber o arquivo de autenticação de ingestão do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Agentes de coleta.
- Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.
Receber o ID do cliente do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Perfil.
- Copie e salve o ID do cliente na seção Detalhes da organização.
Instalar o agente do Bindplane
Instalação do Windows
- Abra o Prompt de Comando ou o PowerShell como administrador.
Execute este comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalação do Linux
- Abra um terminal com privilégios de root ou sudo.
Execute este comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Outros recursos de instalação
- Para mais opções de instalação, consulte este guia de instalação.
Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps
Acesse o arquivo de configuração:
- Localize o arquivo
config.yaml
. Normalmente, ele fica no diretório/etc/bindplane-agent/
no Linux ou no diretório de instalação no Windows. - Abra o arquivo usando um editor de texto (por exemplo,
nano
,vi
ou Bloco de Notas).
- Localize o arquivo
Edite o arquivo
config.yaml
da seguinte forma:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: SNORT_IDS raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua
<customer_id>
pelo ID do cliente real.Atualize
/path/to/ingestion-authentication-file.json
para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.
Reinicie o agente do Bindplane para aplicar as mudanças
Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
sudo systemctl restart bindplane-agent
Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configurar a exportação do syslog no Snort v2.x
- Faça login no dispositivo Snort usando o terminal.
- Edite o seguinte arquivo:
/etc/snort/snort.conf
- Acesse
6) Configure output plugins
. Adicione a seguinte entrada:
# syslog output alert_syslog: host=BINDPLANE_IP_ADDRESS:PORT_NUMBER, LOG_AUTH LOG_ALERT
Substitua:
- BINDPLANE_IP_ADDRESS: Bindplane Agent IP address.
- PORT_NUMBER: Bindplane Agent port number.
Salve o arquivo.
Inicie o serviço snort.
Interrompa o serviço rsyslog.
Edite o seguinte arquivo:
/etc/rsyslogd.conf
# remote host is: name/ip:port *.* @@BINDPLANE_IP_ADDRESS:PORT_NUMBER
Substitua:
- BINDPLANE_IP_ADDRESS: Bindplane Agent IP address.
- PORT_NUMBER: Bindplane Agent port number.
Inicie o serviço rsyslog.
Configurar a exportação do syslog no Snort v3.1.53
- Faça login no dispositivo Snort usando o terminal.
- Interrompa os serviços rsyslog e snort.
- Acesse o seguinte diretório de instalação do Snort:
/usr/local/etc/snort/
Edite o seguinte arquivo de configuração do Snort:
snort.lua
Nas opções de Configurar saídas, adicione o seguinte código (você pode usar qualquer facilidade e nível):
alert_syslog = { facility = 'local3', level = 'info', }
Salve o arquivo de configuração do Snort.
Acesse o diretório de arquivos de configuração padrão do serviço rsyslog:
/etc/rsyslog.d
Crie um novo arquivo:
3-snort.conf
:# cd /etc/rsyslog.d # vi 3-snort.conf
Para enviar registros por TCP ou UDP, adicione a seguinte configuração:
local3.* @@BINDPLANE_IP_ADDRESS:PORT_NUMBER
Substitua:
- BINDPLANE_IP_ADDRESS: Bindplane agent IP address.
- PORT_NUMBER: Bindplane agent port number.
Salve o arquivo.
Inicie o rsyslog e depois o serviço snort.
Tabela de mapeamento do UDM
Campo de registro | Mapeamento do UDM | Lógica |
---|---|---|
agent.hostname | observer.hostname | Valor extraído do campo agent.hostname no registro bruto. |
agent.id | observer.asset_id | Valor extraído do campo agent.id no registro bruto e concatenado com agent.type da seguinte forma: agent.type:agent.id . |
agent.type | observer.application | Valor extraído do campo agent.type no registro bruto. |
agent.version | observer.platform_version | Valor extraído do campo agent.version no registro bruto. |
alert.category | security_result.category_details | Valor extraído do campo alert.category no registro bruto. |
alert.rev | security_result.rule_version | Valor extraído do campo alert.rev no registro bruto. |
alert.rule | security_result.summary | Valor extraído do campo alert.rule no registro bruto, com aspas duplas removidas. |
alert.severity | security_result.severity | Se alert.severity for maior ou igual a 4, defina como LOW . Se alert.severity for 2 ou 3, defina como MEDIUM . Se alert.severity for 1, defina como HIGH . Caso contrário, defina como UNKNOWN_SEVERITY . |
alert.signature | security_result.rule_name | Valor extraído do campo alert.signature no registro bruto. |
alert.signature_id | security_result.rule_id | Valor extraído do campo alert.signature_id no registro bruto. |
app_proto | network.application_protocol | Se app_proto for dns , smb ou http , converta para maiúsculas e use esse valor. Caso contrário, defina como UNKNOWN_APPLICATION_PROTOCOL . |
categoria | security_result.category | Se category for trojan-activity , defina como NETWORK_MALICIOUS . Se category for policy-violation , defina como POLICY_VIOLATION . Caso contrário, defina como UNKNOWN_CATEGORY . |
classtype | security_result.rule_type | Valor extraído do campo classtype no registro bruto, se não estiver vazio ou for unknown . |
community_id | network.community_id | Valor extraído do campo community_id no registro bruto. |
date_log | Usado para definir o carimbo de data/hora do evento se o campo time estiver vazio. |
|
desc | metadata.description | Valor extraído do campo desc no registro bruto. |
dest_ip | target.ip | Valor extraído do campo dest_ip no registro bruto. |
dest_port | target.port | Valor extraído do campo dest_port no registro bruto e convertido em número inteiro. |
dstport | target.port | Valor extraído do campo dstport no registro bruto e convertido em número inteiro. |
file.filename | security_result.about.file.full_path | Valor extraído do campo file.filename no registro bruto, se não estiver vazio ou for / . |
file.size | security_result.about.file.size | Valor extraído do campo file.size no registro bruto e convertido em um número inteiro sem sinal. |
host.name | principal.hostname | Valor extraído do campo host.name no registro bruto. |
nome do host | principal.hostname | Valor extraído do campo hostname no registro bruto. |
inter_host | intermediary.hostname | Valor extraído do campo inter_host no registro bruto. |
log.file.path | principal.process.file.full_path | Valor extraído do campo log.file.path no registro bruto. |
metadata.version | metadata.product_version | Valor extraído do campo metadata.version no registro bruto. |
proto | network.ip_protocol | Valor extraído do campo proto no registro bruto. Se for um número, ele será convertido no nome do protocolo IP correspondente usando uma tabela de pesquisa. |
rule_name | security_result.rule_name | Valor extraído do campo rule_name no registro bruto. |
signature_id | security_result.rule_id | Valor extraído do campo signature_id no registro bruto. |
signature_rev | security_result.rule_version | Valor extraído do campo signature_rev no registro bruto. |
src_ip | principal.ip | Valor extraído do campo src_ip no registro bruto. |
src_port | principal.port | Valor extraído do campo src_port no registro bruto e convertido em número inteiro. |
srcport | principal.port | Valor extraído do campo srcport no registro bruto e convertido em número inteiro. |
tempo | Usado para definir o carimbo de data/hora do evento. | |
metadata.event_type | Sempre defina como SCAN_NETWORK . |
|
metadata.log_type | Fixado no código como SNORT_IDS . |
|
metadata.product_name | Fixado no código como SNORT_IDS . |
|
metadata.vendor_name | Fixado no código como SNORT . |
|
security_result.action | Defina como ALLOW se alert.action for allowed . Caso contrário, defina como UNKNOWN_ACTION . |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.