Esta página foi traduzida pela API Cloud Translation.

Coletar registros do Snort

Compatível com:

Google SecOps SIEM

Neste documento, explicamos como coletar registros do Snort no Google Security Operations usando o Bindplane. O analisador tenta processar dois formatos diferentes de registros do Snort (SYSLOG + JSON) usando padrões grok para extrair campos relevantes. Dependendo do formato identificado, ele processa ainda mais os dados, mapeando os campos extraídos para o esquema do modelo de dados unificado (UDM), normalizando valores e enriquecendo a saída com contexto adicional.

Antes de começar

Verifique se você tem uma instância do Google Security Operations.
Use o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
Verifique se você tem acesso privilegiado ao Snort.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
1. Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SNORT_IDS
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID do cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar a exportação do syslog no Snort v2.x

Faça login no dispositivo Snort usando o terminal.
Edite o seguinte arquivo: /etc/snort/snort.conf
Acesse 6) Configure output plugins.

Adicione a seguinte entrada:

# syslog
output alert_syslog: host=BINDPLANE_IP_ADDRESS:PORT_NUMBER, LOG_AUTH LOG_ALERT

Substitua:
- BINDPLANE_IP_ADDRESS: Bindplane Agent IP address.
- PORT_NUMBER: Bindplane Agent port number.
Salve o arquivo.
Inicie o serviço snort.
Interrompa o serviço rsyslog.

Edite o seguinte arquivo: /etc/rsyslogd.conf

# remote host is: name/ip:port
*.* @@BINDPLANE_IP_ADDRESS:PORT_NUMBER

Substitua:
- BINDPLANE_IP_ADDRESS: Bindplane Agent IP address.
- PORT_NUMBER: Bindplane Agent port number.
Inicie o serviço rsyslog.

Configurar a exportação do syslog no Snort v3.1.53

Faça login no dispositivo Snort usando o terminal.
Interrompa os serviços rsyslog e snort.
Acesse o seguinte diretório de instalação do Snort: /usr/local/etc/snort/
Edite o seguinte arquivo de configuração do Snort: snort.lua

Observação: o diretório de instalação do Snort pode ser qualquer caminho personalizado em que você instalou o Snort.
Nas opções de Configurar saídas, adicione o seguinte código (você pode usar qualquer facilidade e nível):
```
alert_syslog =
  {
    facility = 'local3',
    level = 'info',
  }
```
Salve o arquivo de configuração do Snort.
Acesse o diretório de arquivos de configuração padrão do serviço rsyslog: /etc/rsyslog.d
Crie um novo arquivo: 3-snort.conf:
```
# cd /etc/rsyslog.d
# vi 3-snort.conf
```
Para enviar registros por TCP ou UDP, adicione a seguinte configuração: local3.* @@BINDPLANE_IP_ADDRESS:PORT_NUMBER
Substitua:
- BINDPLANE_IP_ADDRESS: Bindplane agent IP address.
- PORT_NUMBER: Bindplane agent port number.
Salve o arquivo.
Inicie o rsyslog e depois o serviço snort.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
agent.hostname	observer.hostname	Valor extraído do campo `agent.hostname` no registro bruto.
agent.id	observer.asset_id	Valor extraído do campo `agent.id` no registro bruto e concatenado com `agent.type` da seguinte forma: `agent.type:agent.id`.
agent.type	observer.application	Valor extraído do campo `agent.type` no registro bruto.
agent.version	observer.platform_version	Valor extraído do campo `agent.version` no registro bruto.
alert.category	security_result.category_details	Valor extraído do campo `alert.category` no registro bruto.
alert.rev	security_result.rule_version	Valor extraído do campo `alert.rev` no registro bruto.
alert.rule	security_result.summary	Valor extraído do campo `alert.rule` no registro bruto, com aspas duplas removidas.
alert.severity	security_result.severity	Se `alert.severity` for maior ou igual a 4, defina como `LOW`. Se `alert.severity` for 2 ou 3, defina como `MEDIUM`. Se `alert.severity` for 1, defina como `HIGH`. Caso contrário, defina como `UNKNOWN_SEVERITY`.
alert.signature	security_result.rule_name	Valor extraído do campo `alert.signature` no registro bruto.
alert.signature_id	security_result.rule_id	Valor extraído do campo `alert.signature_id` no registro bruto.
app_proto	network.application_protocol	Se `app_proto` for `dns`, `smb` ou `http`, converta para maiúsculas e use esse valor. Caso contrário, defina como `UNKNOWN_APPLICATION_PROTOCOL`.
categoria	security_result.category	Se `category` for `trojan-activity`, defina como `NETWORK_MALICIOUS`. Se `category` for `policy-violation`, defina como `POLICY_VIOLATION`. Caso contrário, defina como `UNKNOWN_CATEGORY`.
classtype	security_result.rule_type	Valor extraído do campo `classtype` no registro bruto, se não estiver vazio ou for `unknown`.
community_id	network.community_id	Valor extraído do campo `community_id` no registro bruto.
date_log		Usado para definir o carimbo de data/hora do evento se o campo `time` estiver vazio.
desc	metadata.description	Valor extraído do campo `desc` no registro bruto.
dest_ip	target.ip	Valor extraído do campo `dest_ip` no registro bruto.
dest_port	target.port	Valor extraído do campo `dest_port` no registro bruto e convertido em número inteiro.
dstport	target.port	Valor extraído do campo `dstport` no registro bruto e convertido em número inteiro.
file.filename	security_result.about.file.full_path	Valor extraído do campo `file.filename` no registro bruto, se não estiver vazio ou for `/`.
file.size	security_result.about.file.size	Valor extraído do campo `file.size` no registro bruto e convertido em um número inteiro sem sinal.
host.name	principal.hostname	Valor extraído do campo `host.name` no registro bruto.
nome do host	principal.hostname	Valor extraído do campo `hostname` no registro bruto.
inter_host	intermediary.hostname	Valor extraído do campo `inter_host` no registro bruto.
log.file.path	principal.process.file.full_path	Valor extraído do campo `log.file.path` no registro bruto.
metadata.version	metadata.product_version	Valor extraído do campo `metadata.version` no registro bruto.
proto	network.ip_protocol	Valor extraído do campo `proto` no registro bruto. Se for um número, ele será convertido no nome do protocolo IP correspondente usando uma tabela de pesquisa.
rule_name	security_result.rule_name	Valor extraído do campo `rule_name` no registro bruto.
signature_id	security_result.rule_id	Valor extraído do campo `signature_id` no registro bruto.
signature_rev	security_result.rule_version	Valor extraído do campo `signature_rev` no registro bruto.
src_ip	principal.ip	Valor extraído do campo `src_ip` no registro bruto.
src_port	principal.port	Valor extraído do campo `src_port` no registro bruto e convertido em número inteiro.
srcport	principal.port	Valor extraído do campo `srcport` no registro bruto e convertido em número inteiro.
tempo		Usado para definir o carimbo de data/hora do evento.
	metadata.event_type	Sempre defina como `SCAN_NETWORK`.
	metadata.log_type	Fixado no código como `SNORT_IDS`.
	metadata.product_name	Fixado no código como `SNORT_IDS`.
	metadata.vendor_name	Fixado no código como `SNORT`.
	security_result.action	Defina como `ALLOW` se `alert.action` for `allowed`. Caso contrário, defina como `UNKNOWN_ACTION`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.