Suricataインテグレーションガイド🔗
このガイドは、SuricataからSecureworks® Taegis™ XDRへのログ送信の設定方法のみを説明しており、センサー自体の設定方法は対象外です。ログローテーションなどのトピックは含まれていません。
前提条件🔗
- Suricata 5.0.xがインストールされ、稼働していること
- Syslog-ngがインストールされ、稼働していること
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Suricata | DNS、HTTP、Netflow、NIDS | NIDS |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。
Suricataセンサー上のsyslog-ngの設定🔗
以下は、Suricataからのログ収集のみを行い、それらをTaegis™ XDR Collectorへ転送するsyslog-ng.confの例です。
@version:3.19
source s_suricata {
file("/var/log/suricata/eve.json" # '/var/log/suricata/' is what is defined in your suricata.yaml's default-log-dir setting.
flags(no-parse)
);
};
destination d_collector_tcp {
tcp("192.168.1.45" port(601)); # 192.168.1.45 is the collector IP
};
log { source(s_suricata);
destination(d_collector_tcp);
};
Suricataセンサーの設定🔗
以下は、お客様のセンサーからXDRへのログ送信の設定方法を示しており、センサー自体の設定方法は対象外です。
-
suricata.yamlファイルを編集し、設定の末尾に以下を追加してください。include: scwx-suricata.yaml -
scwx-suricata.yamlをsuricata.yamlと同じディレクトリに配置してください。 -
scwx-suricata.yamlによって上書きされる変更内容を確認し、必要に応じて調整してください。例:xffの設定で適切なヘッダー(お客様の環境によってはX-Forwarded-For以外のフィールドを使用している場合があります)やタイプ(reverseまたはforward)を指定してください。
-
suricata -T -c /path/of/suricata/yaml/suricata.yamlを実行し、suricata.yamlおよびscwx-suricata.yamlの設定が正しいことを検証してください。
例:
root@0b8f0596b1ac:/# suricata -T -c /etc/suricata/suricata.yaml
[120] 28/2/2020 -- 21:13:35 - (suricata.c:1905) <Info> (ParseCommandLine) -- Running suricata under test mode
[120] 28/2/2020 -- 21:13:35 - (conf-yaml-loader.c:255) <Info> (ConfYamlParse) -- Including configuration file scwx-suricata.yaml.
[120] 28/2/2020 -- 21:13:35 - (conf-yaml-loader.c:279) <Info> (ConfYamlParse) -- Configuration node 'outputs' redefined.
[120] 28/2/2020 -- 21:13:35 - (conf-yaml-loader.c:279) <Info> (ConfYamlParse) -- Configuration node 'rule-files' redefined.
[120] 28/2/2020 -- 21:13:35 - (suricata.c:1084) <Notice> (LogVersion) -- This is Suricata version 5.0.2 RELEASE running in SYSTEM mode
[120] 28/2/2020 -- 21:13:35 - (counters.c:297) <Warning> (StatsInitCtxPostOutput) -- [ERRCODE: SC_WARN_NO_STATS_LOGGERS(261)] - stats are enabled but no loggers are active
[120] 28/2/2020 -- 21:13:42 - (suricata.c:3060) <Notice> (main) -- Configuration provided was successfully loaded. Exiting.
scwx-suricata.yaml🔗
// scwx-suricata.yaml
%YAML 1.1
---
# SecureWorks Suricata Configuration for 5.0.2 in eve format.
outputs:
- eve-log:
enabled: yes
#XXX: SECUREWORKS: Prefix required.
prefix: "SecureWorksSuricataConfiguration_v5.0.2 @cee: "
json:
escape-slash: no
compact: yes
perserve-order: yes
community-id: true #XXX: SECUREWORKS: Enabled for context
# Seed value for the ID output. Valid values are 0-65535.
community-id-seed: 0
xff:
enabled: yes #XXX: SECUREWORKS: Enabled for context.
mode: extra-data
deployment: reverse #XXX: SECUREWORKS: Client can change if needed.
header: X-Forwarded-For #XXX: SECUREWORKS: Client can change if needed.
types:
- alert:
payload: yes #XXX: SECUREWORKS: Added context for Nids pcap.
packet: yes #XXX: SECUREWORKS: Added context for Nids pcap.
- anomaly:
enabled: yes #XXX: SECUREWORKS: Keep defaults
type:
#decode: no
#stream: no
#applayer: yes
#packethdr: no
- http:
extended: yes
- dns:
enabled: yes
version: 2 # #XXX: SECUREWORKS: version 1 will be ignored.
- tls:
extended: yes
- files: # XXX: SECUREWORKS: sparse data type.
enabled: no
- drop:
alerts: yes
flows: all
- smtp:
extended: yes
- dhcp:
enabled: yes
extended: no
- ftp
#- rdp # XXX: SECUREWORKS: off by default
- nfs
- smb
- tftp
- ikev2
- krb5
- snmp
#- sip # XXX: SECUREWORKS: off by default
- ssh
- flow
# Used for local testing
# rule-files:
# - suricata.rules
# - local.rules