Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Coletar registros do Snort IDS

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do IDS Snort no Google Security Operations usando o agente Bindplane.

O Snort é um sistema de detecção e prevenção de intrusões de código aberto que gera mensagens syslog para alertas de intrusão de rede, eventos de análise de protocolo e anomalias de tráfego. O analisador extrai campos de registros formatados em syslog e JSON usando padrões grok e os mapeia para o modelo de dados unificado (UDM).

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Uma instância do Google SecOps
Windows Server 2016 ou mais recente ou host Linux com systemd
Conectividade de rede entre o agente do Bindplane e o dispositivo Snort
Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente Bindplane.
Acesso ao terminal do dispositivo Snort

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão.
Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Observação: esse arquivo JSON contém credenciais para autenticar o agente do Bindplane no Google SecOps.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Observação: o ID do cliente é necessário para configurar o exportador do agente Bindplane.

Instalar o agente do BindPlane

Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o prompt de comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sc query observiq-otel-collector
```
O serviço vai aparecer como EM EXECUÇÃO.

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Aguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
```
sudo systemctl status observiq-otel-collector
```
O serviço vai aparecer como ativo (em execução).

Outros recursos de instalação

Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.

Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps

Localizar o arquivo de configuração

Linux:

sudo nano /opt/observiq-otel-collector/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Editar o arquivo de configuração

Substitua todo o conteúdo de config.yaml pela seguinte configuração:

receivers:
    udplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/snort_ids:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: SNORT_IDS
        raw_log_field: body

service:
    pipelines:
        logs/snort_ids_to_chronicle:
            receivers:
                - udplog
            exporters:
                - chronicle/snort_ids

Parâmetros de configuração

Substitua os seguintes marcadores de posição:

Configuração do receptor:
- listen_address: endereço IP e porta a serem detectados:
  - 0.0.0.0 para detectar em todas as interfaces (recomendado)
  - A porta 514 é a porta padrão do syslog. Ela exige acesso root no Linux. Use 1514 para acesso não root.
Configuração do exportador:
- creds_file_path: caminho completo para o arquivo de autenticação de ingestão:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID do cliente copiado do console do Google SecOps
- endpoint: URL do endpoint regional:
  - EUA: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Ásia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Consulte a lista completa em Endpoints regionais.

Salve o arquivo de configuração.

Depois de editar, salve o arquivo:
- Linux: pressione Ctrl+O, Enter e Ctrl+X.
- Windows: clique em Arquivo > Salvar.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart observiq-otel-collector
```
1. Verifique se o serviço está em execução:
```
sudo systemctl status observiq-otel-collector
```
2. Verifique se há erros nos registros:
```
sudo journalctl -u observiq-otel-collector -f
```
Para reiniciar o agente do Bindplane no Windows, escolha uma das seguintes opções:
- Prompt de comando ou PowerShell como administrador:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console de serviços:
  1. Pressione Win+R, digite services.msc e pressione Enter.
  2. Localize o Coletor do OpenTelemetry da observIQ.
  3. Clique com o botão direito do mouse e selecione Reiniciar.
  4. Verifique se o serviço está em execução:
```
sc query observiq-otel-collector
```
  5. Verifique se há erros nos registros:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurar a exportação do syslog no Snort v2.x

Faça login no dispositivo Snort usando o terminal.
Edite o seguinte arquivo: /etc/snort/snort.conf.
Acesse 6) Configure output plugins.
Adicione a seguinte entrada:
```
# syslog output
alert_syslog: host=<BINDPLANE_IP>:<PORT_NUMBER>, LOG_AUTH LOG_ALERT
```
- Substitua <BINDPLANE_IP> pelo endereço IP do agente do Bindplane e <PORT_NUMBER> pelo número da porta.
Salve o arquivo.
Inicie o serviço snort.
Interrompa o serviço rsyslog.
Edite o seguinte arquivo: /etc/rsyslogd.conf:
```
# remote host is: name/ip:port
*.* @@<BINDPLANE_IP>:<PORT_NUMBER>
```
- Substitua <BINDPLANE_IP> pelo endereço IP do agente do Bindplane e <PORT_NUMBER> pelo número da porta.
Inicie o serviço rsyslog.

Configurar a exportação do syslog no Snort v3.1.53

Faça login no dispositivo Snort usando o terminal.
Interrompa os serviços rsyslog e snort.
Acesse o diretório de instalação do Snort: /usr/local/etc/snort/.
Edite o arquivo de configuração do Snort: snort.lua.

Nas opções de Configurar saídas, adicione o seguinte código:

alert_syslog = {
    facility = 'local3',
    level = 'info',
}

Salve o arquivo de configuração do Snort.
Acesse o diretório de arquivos de configuração padrão do serviço rsyslog: /etc/rsyslog.d.
Crie um novo arquivo: 3-snort.conf.
Para enviar registros por TCP ou UDP, adicione a seguinte configuração:
```
local3.* @@<BINDPLANE_IP>:<PORT_NUMBER>
```
- Substitua <BINDPLANE_IP> pelo endereço IP do agente do Bindplane e <PORT_NUMBER> pelo número da porta.
Salve o arquivo.
Inicie o rsyslog e depois o serviço snort.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
agent.hostname	observer.hostname	Valor extraído do campo `agent.hostname` no registro bruto.
agent.id	observer.asset_id	Valor extraído do campo `agent.id` no registro bruto e concatenado com `agent.type` da seguinte forma: `agent.type:agent.id`.
agent.type	observer.application	Valor extraído do campo `agent.type` no registro bruto.
agent.version	observer.platform_version	Valor extraído do campo `agent.version` no registro bruto.
alert.category	security_result.category_details	Valor extraído do campo `alert.category` no registro bruto.
alert.rev	security_result.rule_version	Valor extraído do campo `alert.rev` no registro bruto.
alert.rule	security_result.summary	Valor extraído do campo `alert.rule` no registro bruto, com aspas duplas removidas.
alert.severity	security_result.severity	Se `alert.severity` for maior ou igual a 4, defina como `LOW`. Se `alert.severity` for 2 ou 3, defina como `MEDIUM`. Se `alert.severity` for 1, defina como `HIGH`. Caso contrário, defina como `UNKNOWN_SEVERITY`.
alert.signature	security_result.rule_name	Valor extraído do campo `alert.signature` no registro bruto.
alert.signature_id	security_result.rule_id	Valor extraído do campo `alert.signature_id` no registro bruto.
app_proto	network.application_protocol	Se `app_proto` for `dns`, `smb` ou `http`, converta para maiúsculas e use esse valor. Caso contrário, defina como `UNKNOWN_APPLICATION_PROTOCOL`.
categoria	security_result.category	Se `category` for `trojan-activity`, defina como `NETWORK_MALICIOUS`. Se `category` for `policy-violation`, defina como `POLICY_VIOLATION`. Caso contrário, defina como `UNKNOWN_CATEGORY`.
classtype	security_result.rule_type	Valor extraído do campo `classtype` no registro bruto, se não estiver vazio ou for `unknown`.
community_id	network.community_id	Valor extraído do campo `community_id` no registro bruto.
date_log		Usado para definir o carimbo de data/hora do evento se o campo `time` estiver vazio.
desc	metadata.description	Valor extraído do campo `desc` no registro bruto.
dest_ip	target.ip	Valor extraído do campo `dest_ip` no registro bruto.
dest_port	target.port	Valor extraído do campo `dest_port` no registro bruto e convertido em número inteiro.
dstport	target.port	Valor extraído do campo `dstport` no registro bruto e convertido em número inteiro.
file.filename	security_result.about.file.full_path	Valor extraído do campo `file.filename` no registro bruto, se não estiver vazio ou for `/`.
file.size	security_result.about.file.size	Valor extraído do campo `file.size` no registro bruto e convertido em um número inteiro sem sinal.
host.name	principal.hostname	Valor extraído do campo `host.name` no registro bruto.
nome do host	principal.hostname	Valor extraído do campo `hostname` no registro bruto.
inter_host	intermediary.hostname	Valor extraído do campo `inter_host` no registro bruto.
log.file.path	principal.process.file.full_path	Valor extraído do campo `log.file.path` no registro bruto.
metadata.version	metadata.product_version	Valor extraído do campo `metadata.version` no registro bruto.
proto	network.ip_protocol	Valor extraído do campo `proto` no registro bruto. Se for um número, ele será convertido no nome do protocolo IP correspondente usando uma tabela de consulta.
rule_name	security_result.rule_name	Valor extraído do campo `rule_name` no registro bruto.
signature_id	security_result.rule_id	Valor extraído do campo `signature_id` no registro bruto.
signature_rev	security_result.rule_version	Valor extraído do campo `signature_rev` no registro bruto.
src_ip	principal.ip	Valor extraído do campo `src_ip` no registro bruto.
src_port	principal.port	Valor extraído do campo `src_port` no registro bruto e convertido em número inteiro.
srcport	principal.port	Valor extraído do campo `srcport` no registro bruto e convertido em número inteiro.
tempo		Usado para definir o carimbo de data/hora do evento.
	metadata.event_type	Sempre defina como `SCAN_NETWORK`.
	metadata.log_type	Fixado no código como `SNORT_IDS`.
	metadata.product_name	Fixado no código como `SNORT_IDS`.
	metadata.vendor_name	Fixado no código como `SNORT`.
	security_result.action	Defina como `ALLOW` se `alert.action` for `allowed`. Caso contrário, defina como `UNKNOWN_ACTION`.

Registro de alterações

Ver o registro de alterações deste analisador

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.