本頁面由 Cloud Translation API 翻譯而成。

收集 Snort 記錄

支援以下發布途徑：

Google secops Siem

本文說明如何使用 Bindplane 將 Snort 記錄收集到 Google Security Operations。剖析器會嘗試使用 grok 模式來擷取相關欄位，處理兩種不同的 Snort 記錄格式 (SYSLOG + JSON)。根據所辨識的格式，進一步處理資料，將擷取的欄位對應至統一資料模型 (UDM) 結構定義、將值標準化，並透過額外的內容豐富輸出內容。

事前準備

確認您有 Google Security Operations 執行個體。
請確認您使用的是 Windows 2016 或更新版本，或是支援 systemd 的 Linux 主機。
如果在 Proxy 後方執行，請確認防火牆通訊埠已開啟。
確認您具備 Snort 的特殊權限。

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。請在將要安裝 Bindplane 的系統上，安全地儲存檔案。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」部分中的客戶 ID。

安裝 Bindplane 代理程式

Windows 安裝

以系統管理員身分開啟命令提示字元或 PowerShell。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具有 root 或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱這份安裝指南。

設定 Bindplane 代理程式，以便擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
1. 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄或 Windows 的安裝目錄。
2. 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SNORT_IDS
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

視基礎架構需求替換通訊埠和 IP 位址。
將 <customer_id> 替換為實際的客戶 ID。
在「取得 Google SecOps 攝入驗證檔案」部分，將 /path/to/ingestion-authentication-file.json 更新為驗證檔案的儲存路徑。

重新啟動 Bindplane 代理程式以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，您可以使用「Services」主控台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

在 Snort 2.x 上設定 syslog 匯出功能

使用終端機登入 Snort 裝置。
編輯以下檔案：/etc/snort/snort.conf
前往 6) Configure output plugins。

新增下列項目：

# syslog
output alert_syslog: host=BINDPLANE_IP_ADDRESS:PORT_NUMBER, LOG_AUTH LOG_ALERT

更改下列內容：
- BINDPLANE_IP_ADDRESS: Bindplane Agent IP address.
- PORT_NUMBER: Bindplane Agent port number.
儲存檔案。
啟動 snort 服務。
停止 rsyslog 服務。

編輯以下檔案：/etc/rsyslogd.conf

# remote host is: name/ip:port
*.* @@BINDPLANE_IP_ADDRESS:PORT_NUMBER

更改下列內容：
- BINDPLANE_IP_ADDRESS: Bindplane Agent IP address.
- PORT_NUMBER: Bindplane Agent port number.
啟動 rsyslog 服務。

在 Snort 3.1.53 版上設定 syslog 匯出功能

使用終端機登入 Snort 裝置。
停止 rsyslog 和 snort 服務。
前往下列 Snort 安裝目錄：/usr/local/etc/snort/
編輯下列 Snort 設定檔：snort.lua

注意： Snort 安裝目錄可以是您安裝 Snort 的任何自訂路徑。
在「Configure outputs」(設定輸出內容) 選項中，附加下列程式碼 (您可以使用任何設施和等級)：
```
alert_syslog =
  {
    facility = 'local3',
    level = 'info',
  }
```
儲存 Snort 設定檔。
前往 rsyslog 服務預設設定檔目錄：/etc/rsyslog.d
建立新檔案：3-snort.conf：
```
# cd /etc/rsyslog.d
# vi 3-snort.conf
```
如要透過 TCP 或 UDP 傳送記錄，請新增下列設定：local3.* @@BINDPLANE_IP_ADDRESS:PORT_NUMBER
更改下列內容：
- BINDPLANE_IP_ADDRESS: Bindplane agent IP address.
- PORT_NUMBER: Bindplane agent port number.
儲存檔案。
啟動 rsyslog，然後啟動 snort 服務。

UDM 對應表

記錄欄位	UDM 對應	邏輯
agent.hostname	observer.hostname	從原始記錄中的 `agent.hostname` 欄位取得的值。
agent.id	observer.asset_id	從原始記錄中的 `agent.id` 欄位擷取的值，並與 `agent.type` 連接，如下所示：`agent.type:agent.id`。
agent.type	observer.application	從原始記錄中的 `agent.type` 欄位取得的值。
agent.version	observer.platform_version	從原始記錄中的 `agent.version` 欄位取得的值。
alert.category	security_result.category_details	從原始記錄中的 `alert.category` 欄位取得的值。
alert.rev	security_result.rule_version	從原始記錄中的 `alert.rev` 欄位取得的值。
alert.rule	security_result.summary	從原始記錄檔中的 `alert.rule` 欄位擷取的值，已移除雙引號。
alert.severity	security_result.severity	如果 `alert.severity` 大於或等於 4，請將其設為 `LOW`。如果 `alert.severity` 為 2 或 3，請設為 `MEDIUM`。如果 `alert.severity` 為 1，請設為 `HIGH`。否則，請設為 `UNKNOWN_SEVERITY`。
alert.signature	security_result.rule_name	從原始記錄中的 `alert.signature` 欄位取得的值。
alert.signature_id	security_result.rule_id	從原始記錄中的 `alert.signature_id` 欄位取得的值。
app_proto	network.application_protocol	如果 `app_proto` 是 `dns`、`smb` 或 `http`，請將其轉換為大寫並使用該值。否則，請設為 `UNKNOWN_APPLICATION_PROTOCOL`。
category	security_result.category	如果 `category` 是 `trojan-activity`，請設為 `NETWORK_MALICIOUS`。如果 `category` 是 `policy-violation`，請設為 `POLICY_VIOLATION`。否則，請設為 `UNKNOWN_CATEGORY`。
classtype	security_result.rule_type	從原始記錄檔中的 `classtype` 欄位擷取的值 (如果該欄位不是空白或 `unknown`)。
community_id	network.community_id	從原始記錄中的 `community_id` 欄位取得的值。
date_log		如果 `time` 欄位為空白，則用於設定事件時間戳記。
遞減	metadata.description	從原始記錄中的 `desc` 欄位取得的值。
dest_ip	target.ip	從原始記錄中的 `dest_ip` 欄位取得的值。
dest_port	target.port	從原始記錄中的 `dest_port` 欄位擷取的值，並轉換為整數。
dstport	target.port	從原始記錄中的 `dstport` 欄位擷取的值，並轉換為整數。
file.filename	security_result.about.file.full_path	從原始記錄檔中的 `file.filename` 欄位擷取的值 (如果該欄位不是空白或 `/`)。
file.size	security_result.about.file.size	從原始記錄中的 `file.size` 欄位擷取的值，並轉換為無符號整數。
host.name	principal.hostname	從原始記錄中的 `host.name` 欄位取得的值。
主機名稱	principal.hostname	從原始記錄中的 `hostname` 欄位取得的值。
inter_host	intermediary.hostname	從原始記錄中的 `inter_host` 欄位取得的值。
log.file.path	principal.process.file.full_path	從原始記錄中的 `log.file.path` 欄位取得的值。
metadata.version	metadata.product_version	從原始記錄中的 `metadata.version` 欄位取得的值。
proto	network.ip_protocol	從原始記錄中的 `proto` 欄位取得的值。如果是數字，系統會使用對照表將其轉換為對應的 IP 通訊協定名稱。
rule_name	security_result.rule_name	從原始記錄中的 `rule_name` 欄位取得的值。
signature_id	security_result.rule_id	從原始記錄中的 `signature_id` 欄位取得的值。
signature_rev	security_result.rule_version	從原始記錄中的 `signature_rev` 欄位取得的值。
src_ip	principal.ip	從原始記錄中的 `src_ip` 欄位取得的值。
src_port	principal.port	從原始記錄中的 `src_port` 欄位擷取的值，並轉換為整數。
srcport	principal.port	從原始記錄中的 `srcport` 欄位擷取的值，並轉換為整數。
時間		用於設定事件時間戳記。
	is_alert	如果 `alert.severity` 為 1，請設為 `true`，否則不對應。
	is_significant	如果 `alert.severity` 為 1，請設為 `true`，否則不對應。
	metadata.event_type	一律設為 `SCAN_NETWORK`。
	metadata.log_type	已硬式編碼至 `SNORT_IDS`。
	metadata.product_name	已硬式編碼至 `SNORT_IDS`。
	metadata.vendor_name	已硬式編碼至 `SNORT`。
	security_result.action	如果 `alert.action` 是 `allowed`，請設為 `ALLOW`，否則設為 `UNKNOWN_ACTION`。

異動

2024-12-04

改善項目：

新增 Grok 模式，以便處理 SYSLOG 格式記錄。
如果 net_proto 的值為 Tcp，請將 network.ip_protocol 的值設為 TCP。

2024-11-21

改善項目：

新增 Grok 模式，用於處理 SYSLOG 格式記錄。

2022-09-22

改善項目：

為「agent.hostname」欄位新增 on_error 條件，以便剖析未剖析的記錄。

2022-07-05

改善項目：

新增 Grok 模式，用於處理 syslog 格式的記錄。

還有其他問題嗎？向社群成員和 Google SecOps 專家尋求解答。