Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de Snort

Compatible con:

Google secops Siem

En este documento, se explica cómo recopilar registros de Snort en Google Security Operations con Bindplane. El analizador intenta controlar dos formatos de registro de Snort diferentes (SYSLOG + JSON) con patrones grok para extraer campos relevantes. Según el formato identificado, procesa los datos, asigna los campos extraídos al esquema del modelo de datos unificado (UDM), normaliza los valores y enriquece el resultado con contexto adicional.

Antes de comenzar

Asegúrate de tener una instancia de Google Security Operations.
Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
Si se ejecuta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
Asegúrate de tener acceso con privilegios a Snort.

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de Bindplane

Instalación de Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de Bindplane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SNORT_IDS
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios.

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Services o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura la exportación de syslog en Snort v2.x

Accede al dispositivo Snort con la terminal.
Edita el siguiente archivo: /etc/snort/snort.conf
Ve a 6) Configure output plugins.

Agrega la siguiente entrada:

# syslog
output alert_syslog: host=BINDPLANE_IP_ADDRESS:PORT_NUMBER, LOG_AUTH LOG_ALERT

Reemplaza lo siguiente:
- BINDPLANE_IP_ADDRESS: Bindplane Agent IP address.
- PORT_NUMBER: Bindplane Agent port number.
Guarda el archivo.
Inicia el servicio snort.
Detén el servicio rsyslog.

Edita el siguiente archivo: /etc/rsyslogd.conf

# remote host is: name/ip:port
*.* @@BINDPLANE_IP_ADDRESS:PORT_NUMBER

Reemplaza lo siguiente:
- BINDPLANE_IP_ADDRESS: Bindplane Agent IP address.
- PORT_NUMBER: Bindplane Agent port number.
Inicia el servicio rsyslog.

Configura la exportación de syslog en Snort v3.1.53

Accede al dispositivo Snort con la terminal.
Detén los servicios rsyslog y snort.
Ve al siguiente directorio de instalación de Snort: /usr/local/etc/snort/
Edita el siguiente archivo de configuración de Snort: snort.lua

Nota: El directorio de instalación de Snort puede ser cualquier ruta de acceso personalizada en la que hayas instalado Snort.
En las opciones Configurar salidas, agrega el siguiente código (puedes usar cualquier facilidad y nivel):
```
alert_syslog =
  {
    facility = 'local3',
    level = 'info',
  }
```
Guarda el archivo de configuración de Snort.
Ve al directorio de archivos de configuración predeterminados del servicio rsyslog: /etc/rsyslog.d
Crea un archivo nuevo: 3-snort.conf:
```
# cd /etc/rsyslog.d
# vi 3-snort.conf
```
Para enviar registros a través de TCP o UDP, agrega la siguiente configuración: local3.* @@BINDPLANE_IP_ADDRESS:PORT_NUMBER
Reemplaza lo siguiente:
- BINDPLANE_IP_ADDRESS: Bindplane agent IP address.
- PORT_NUMBER: Bindplane agent port number.
Guarda el archivo.
Inicia rsyslog y, luego, el servicio snort.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
agent.hostname	observer.hostname	Es el valor tomado del campo `agent.hostname` en el registro sin procesar.
agent.id	observer.asset_id	Es el valor tomado del campo `agent.id` en el registro sin procesar y concatenado con `agent.type` de la siguiente manera: `agent.type:agent.id`.
agent.type	observer.application	Es el valor tomado del campo `agent.type` en el registro sin procesar.
agent.version	observer.platform_version	Es el valor tomado del campo `agent.version` en el registro sin procesar.
alert.category	security_result.category_details	Es el valor tomado del campo `alert.category` en el registro sin procesar.
alert.rev	security_result.rule_version	Es el valor tomado del campo `alert.rev` en el registro sin procesar.
alert.rule	security_result.summary	Valor tomado del campo `alert.rule` en el registro sin procesar, sin comillas dobles.
alert.severity	security_result.severity	Si `alert.severity` es mayor o igual que 4, configúralo en `LOW`. Si `alert.severity` es 2 o 3, configúralo como `MEDIUM`. Si `alert.severity` es 1, configúralo como `HIGH`. De lo contrario, configúralo como `UNKNOWN_SEVERITY`.
alert.signature	security_result.rule_name	Es el valor tomado del campo `alert.signature` en el registro sin procesar.
alert.signature_id	security_result.rule_id	Es el valor tomado del campo `alert.signature_id` en el registro sin procesar.
app_proto	network.application_protocol	Si `app_proto` es `dns`, `smb` o `http`, conviértelo a mayúsculas y usa ese valor. De lo contrario, configúralo como `UNKNOWN_APPLICATION_PROTOCOL`.
category	security_result.category	Si `category` es `trojan-activity`, configúralo como `NETWORK_MALICIOUS`. Si `category` es `policy-violation`, configúralo como `POLICY_VIOLATION`. De lo contrario, configúralo como `UNKNOWN_CATEGORY`.
classtype	security_result.rule_type	Es el valor tomado del campo `classtype` en el registro sin procesar, si no está vacío o es `unknown`.
community_id	network.community_id	Es el valor tomado del campo `community_id` en el registro sin procesar.
date_log		Se usa para establecer la marca de tiempo del evento si el campo `time` está vacío.
desc	metadata.description	Es el valor tomado del campo `desc` en el registro sin procesar.
dest_ip	target.ip	Es el valor tomado del campo `dest_ip` en el registro sin procesar.
dest_port	target.port	Es el valor tomado del campo `dest_port` en el registro sin procesar y convertido a número entero.
dstport	target.port	Es el valor tomado del campo `dstport` en el registro sin procesar y convertido a número entero.
file.filename	security_result.about.file.full_path	Es el valor tomado del campo `file.filename` en el registro sin procesar, si no está vacío o es `/`.
file.size	security_result.about.file.size	Es el valor tomado del campo `file.size` en el registro sin procesar y convertido a número entero sin signo.
host.name	principal.hostname	Es el valor tomado del campo `host.name` en el registro sin procesar.
Nombre de host	principal.hostname	Es el valor tomado del campo `hostname` en el registro sin procesar.
inter_host	intermediary.hostname	Es el valor tomado del campo `inter_host` en el registro sin procesar.
log.file.path	principal.process.file.full_path	Es el valor tomado del campo `log.file.path` en el registro sin procesar.
metadata.version	metadata.product_version	Es el valor tomado del campo `metadata.version` en el registro sin procesar.
protocolo	network.ip_protocol	Es el valor tomado del campo `proto` en el registro sin procesar. Si es un número, se convierte en el nombre del protocolo IP correspondiente con una tabla de consulta.
rule_name	security_result.rule_name	Es el valor tomado del campo `rule_name` en el registro sin procesar.
signature_id	security_result.rule_id	Es el valor tomado del campo `signature_id` en el registro sin procesar.
signature_rev	security_result.rule_version	Es el valor tomado del campo `signature_rev` en el registro sin procesar.
src_ip	principal.ip	Es el valor tomado del campo `src_ip` en el registro sin procesar.
src_port	principal.port	Es el valor tomado del campo `src_port` en el registro sin procesar y convertido a número entero.
srcport	principal.port	Es el valor tomado del campo `srcport` en el registro sin procesar y convertido a número entero.
hora		Se usa para establecer la marca de tiempo del evento.
	is_alert	Se establece en `true` si `alert.severity` es 1, de lo contrario, no se asigna.
	is_significant	Se establece en `true` si `alert.severity` es 1, de lo contrario, no se asigna.
	metadata.event_type	Siempre se establece en `SCAN_NETWORK`.
	metadata.log_type	Se codifica en `SNORT_IDS`.
	metadata.product_name	Se codifica en `SNORT_IDS`.
	metadata.vendor_name	Se codifica en `SNORT`.
	security_result.action	Se establece en `ALLOW` si `alert.action` es `allowed`, de lo contrario, se establece en `UNKNOWN_ACTION`.

Cambios

2024-12-04

Mejora:

Se agregaron patrones de Grok para controlar los registros de formato SYSLOG.
Si el valor de net_proto es Tcp, establece el valor de network.ip_protocol en TCP.

2024-11-21

Mejora:

Se agregó un patrón de Grok para controlar los registros de formato SYSLOG.

2022-09-22

Mejora:

Se agregó la condición on_error para el campo "agent.hostname" para analizar los registros sin analizar.

2022-07-05

Mejora:

Se agregó un patrón de Grok para controlar los registros de formato syslog.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.